.\" Translated Tue Jun 6 19:25:23 JST 2003
.\" by Susumu ISHIZUKA <szuka@isp.co.jp>
.\"
-.\"WORD: userspace ¥æ¡¼¥¶¶õ´Ö
-.\"WORD: verdict ȽÃÇ
+.\"WORD: userspace ユーザ空間
+.\"WORD: verdict 判断
.\"O .SH NAME
-.SH ̾Á°
+.SH 名前
libipq \- iptables userspace packet queuing library.
.\"O .SH SYNOPSIS
-.SH ½ñ¼°
+.SH 書式
.B #include <linux/netfilter.h>
.br
.B #include <libipq.h>
.\"O .SH DESCRIPTION
-.SH ÀâÌÀ
+.SH 説明
.\"O libipq is a development library for iptables userspace packet queuing.
-libipq ¤Ï iptables ¤ò »È¤Ã¤Æ ¥æ¡¼¥¶¶õ´Ö¤Ç¥Ñ¥±¥Ã¥ÈÁàºî¤ò
-¤¹¤ë¤¿¤á¤Î¥é¥¤¥Ö¥é¥ê¤Ç¤¢¤ë¡£
+libipq は iptables を 使って ユーザ空間でパケット操作を
+するためのライブラリである。
.SS Userspace Packet Queuing
.\"O Netfilter provides a mechanism for passing packets out of the stack for
.\"O queueing to userspace, then receiving these packets back into the kernel
.\"O with a verdict specifying what to do with the packets (such as ACCEPT
.\"O or DROP). These packets may also be modified in userspace prior to
.\"O reinjection back into the kernel.
-Netfilter ¤Ï¡¢¥æ¡¼¥¶¶õ´Ö¤Ç¥Ñ¥±¥Ã¥ÈÁàºî¤ò¤¹¤ë¤¿¤á¤Îµ¡¹½¤ò
-Ä󶡤·¤Æ¤¤¤ë¡£ ¤³¤Îµ¡¹½¤Ï¥×¥í¥È¥³¥ë¥¹¥¿¥Ã¥¯¤«¤é¥Ñ¥±¥Ã¥È¤ò
-¥æ¡¼¥¶¶õ´Ö¤ËÅϤ·¤Æ¥¥å¡¼¥¤¥ó¥°(queuing) ¤·¡¢¥æ¡¼¥¶¶õ´Ö¤Ç
-(ACCEPT ¤ä DROP ¤È¤¤¤Ã¤¿) ¥Ñ¥±¥Ã¥È½èÍý¤ÎȽÃǤò¹Ô¤Ã¤¿¸å¤Ë
-¥Ñ¥±¥Ã¥È¤ò¥«¡¼¥Í¥ë¤ËÌᤷ¤Æ¤¤¤ë¡£ ¤³¤ì¤é¤Î¥Ñ¥±¥Ã¥È¤Ï¡¢
-¥æ¡¼¥¶¶õ´Ö¤ÇÊѹ¹¤ò²Ã¤¨¤é¤ì¤Æ¡¢¥«¡¼¥Í¥ë¤ËÊÖ¤µ¤ì¤ë¤³¤È¤â¤¢¤ë¡£
+Netfilter は、ユーザ空間でパケット操作をするための機構を
+提供している。 この機構はプロトコルスタックからパケットを
+ユーザ空間に渡してキューイング(queuing) し、ユーザ空間で
+(ACCEPT や DROP といった) パケット処理の判断を行った後に
+パケットをカーネルに戻している。 これらのパケットは、
+ユーザ空間で変更を加えられて、カーネルに返されることもある。
.PP
.\"O For each supported protocol, a kernel module called a
.\"O .I queue handler
.\"O may register with Netfilter to perform the mechanics of passing
.\"O packets to and from userspace.
-¥æ¡¼¥¶¶õ´Ö¤È¤Î¥Ñ¥±¥Ã¥È¤Î¤ä¤ê¼è¤ê¤Î¤¿¤á¤Ë
-.I ¥¥å¡¼¥Ï¥ó¥É¥é¡¼ (queue handler)
-¤È¸Æ¤Ð¤ì¤ë¥«¡¼¥Í¥ë¥â¥¸¥å¡¼¥ë¤¬
-Netfilter ¤ËÅÐÏ¿¤µ¤ì¤Æ¤¤¤ë¡£
-¥¥å¡¼¥Ï¥ó¥É¥é¡¼¤Ï¡¢³Æ¥×¥í¥È¥³¥ë¤´¤È¤Ë ÍÑ°Õ¤µ¤ì¤ë¡£
+ユーザ空間とのパケットのやり取りのために
+.I ã\82ã\83¥ã\83¼ã\83\8fã\83³ã\83\89ã\83©ã\83¼ (queue handler)
+と呼ばれるカーネルモジュールが
+Netfilter に登録されている。
+キューハンドラーは、各プロトコルごとに 用意される。
.PP
.\"O The standard queue handler for IPv4 is ip_queue. It is provided as an
.\"O experimental module with 2.4 kernels, and uses a Netlink socket for
.\"O kernel/userspace communication.
-IPv4 ¤Ç¤Î ɸ½à¤Î¥¥å¡¼¥Ï¥ó¥É¥é¡¼¤Ï ip_queue ¤Ç¤¢¤ë¡£
-2.4¥«¡¼¥Í¥ë¤Ç¤Ï experimental ¥â¥¸¥å¡¼¥ë¤È¤·¤ÆÄ󶡤µ¤ì¡¢
-Netlink ¥½¥±¥Ã¥È¤ò»È¤Ã¤Æ¡¢¥«¡¼¥Í¥ë¤È¥æ¡¼¥¶¶õ´Ö¤È¤ÎÄÌ¿®¤ò
-¹Ô¤Ã¤Æ¤¤¤ë¡£
+IPv4 での 標準のキューハンドラーは ip_queue である。
+2.4カーネルでは experimental モジュールとして提供され、
+Netlink ソケットを使って、カーネルとユーザ空間との通信を
+行っている。
.PP
.\"O Once ip_queue is loaded, IP packets may be selected with iptables
.\"O and queued for userspace processing via the QUEUE target. For example,
.\"O running the following commands:
-ip_queue ¤¬¡¢¥á¥â¥ê¾å¤Ë¥í¡¼¥É¤µ¤ì¤ë¤È IP ¥Ñ¥±¥Ã¥È¤Ï iptables ¤Ç
-¥Õ¥£¥ë¥¿¥ê¥ó¥°¤µ¤ì QUEUE ¥¿¡¼¥²¥Ã¥È¤Ë¤è¤Ã¤Æ ¥æ¡¼¥¶¶õ´Ö¤Î ½èÍý¤Î¤¿¤á¤Ë
-¥¥å¡¼¥¤¥ó¥°¤µ¤ì¤ë¡£ Îã¤È¤·¤Æ ¼¡¤Î°ìÏ¢¤Î ¥³¥Þ¥ó¥É¤¬È¯¹Ô¤µ¤ì¤ë¤È¡¢
+ip_queue が、メモリ上にロードされると IP パケットは iptables で
+フィルタリングされ QUEUE ターゲットによって ユーザ空間の 処理のために
+キューイングされる。 例として 次の一連の コマンドが発行されると、
.PP
# modprobe iptable_filter
.br
.\"O be sent to the ip_queue module, which will then attempt to deliver the
.\"O packets to a userspace application. If no userspace application is waiting,
.\"O the packets will be dropped
-¥í¡¼¥«¥ë¥Û¥¹¥È¤«¤éÁ÷¿®¤µ¤ì¤¿ICMP¥Ñ¥±¥Ã¥È¡Êping¤ÎÁ÷¿®¤Ê¤É¡Ë¤¬
-ip_queue¥â¥¸¥å¡¼¥ë¤ËÁ÷¤é¤ì¡¢¤½¤³¤«¤é¥Ñ¥±¥Ã¥È¤ò¥æ¡¼¥¶¶õ´Ö¤Î
-¥¢¥×¥ê¥±¡¼¥·¥ç¥ó¤ËÅϤ½¤¦¤È¤¹¤ë¡£ ¥Ñ¥±¥Ã¥È¤ò¼õ¤±¼è¤ë
-¥¢¥×¥ê¥±¡¼¥·¥ç¥ó¤¬¤Ê¤¤¾ì¹ç¤Ï¡¢¥Ñ¥±¥Ã¥È¤ÏÇË´þ¡Êdrop¡Ë¤µ¤ì¤ë¡£
+ローカルホストから送信されたICMPパケット(pingの送信など)が
+ip_queueモジュールに送られ、そこからパケットをユーザ空間の
+アプリケーションに渡そうとする。 パケットを受け取る
+アプリケーションがない場合は、パケットは破棄(drop)される。
.PP
.\"O An application may receive and process these packets via libipq.
-¥¢¥×¥ê¥±¡¼¥·¥ç¥ó¤Ï¡¢libipq ¤ò»È¤¦¤³¤È¤Ç¥Ñ¥±¥Ã¥È¤ò¼õ¿®¡¦
-Êѹ¹¤Ç¤¤ë¡£
+アプリケーションは、libipq を使うことでパケットを受信・
+変更できる。
.PP
.PP
.SS Libipq Overview
.\"O Libipq provides an API for communicating with ip_queue. The following is
.\"O an overview of API usage, refer to individual man pages for more details
.\"O on each function.
-libipq ¤Ï¡¢ip_queue ¤ÈÄÌ¿®¤¹¤ë¤¿¤á¤Î API ¤òÄ󶡤¹¤ë¡£
-°Ê²¼¤Ï¡¢API ¤Î´Êñ¤ÊÀâÌÀ¤Ç¤¢¤ë¡£ ´Ø¿ô¤Î¾ÜºÙ¤Ï³Æ manpage ¤ò
-»²¾È¤¹¤ë¤³¤È¡£
+libipq は、ip_queue と通信するための API を提供する。
+以下は、API の簡単な説明である。 関数の詳細は各 manpage を
+参照すること。
.\P
.\"O .B Initialisation
-.B ½é´ü²½
+.B 初期化
.br
.\"O To initialise the library, call
.\"O .BR ipq_create_handle (3).
.\"O This will attempt to bind to the Netlink socket used by ip_queue and
.\"O return an opaque context handle for subsequent library calls.
-½é´ü²½¤ò¹Ô¤¦¤Ë¤Ï¡¢
+初期化を行うには、
.BR ipq_create_handle (3)
-¤ò»ÈÍѤ¹¤ë¡£
-¤³¤Î´Ø¿ô¤Ï ip_queue ¤¬»ÈÍѤ·¤Æ¤¤¤ë Netlink ¥½¥±¥Ã¥È¤ò bind
-¤·¡¢¤³¤Î¸å¤Î¥é¥¤¥Ö¥é¥ê´Ø¿ô¤¬»ÈÍѤ¹¤ë¥³¥ó¥Æ¥¥¹¥È¥Ï¥ó¥É¥ë¤ò
-ÊÖ¤¹¡£
+を使用する。
+この関数は ip_queue が使用している Netlink ソケットを bind
+し、この後のライブラリ関数が使用するコンテキストハンドルを
+返す。
.PP
.\"O .B Setting the Queue Mode
-.B ¥¥å¡¼¥â¡¼¥É¡Êqueue mode¡Ë¤ÎÀßÄê
+.B キューモード(queue mode)の設定
.br
.\"O .BR ipq_set_mode (3)
.\"O allows the application to specify whether packet metadata, or packet
.\"O initially notify ip_queue that an application is ready to receive queue
.\"O messages.
.BR ipq_set_mode (3)
-¤Ï¡¢¥æ¡¼¥¶¶õ´Ö¤Ë¥Ñ¥±¥Ã¥È¤Î¥á¥¿¥Ç¡¼¥¿¤À¤±¤ò
-¥³¥Ô¡¼¤¹¤ë¤Î¤«¡¢¥Ñ¥±¥Ã¥È¤Î¥á¥¿¥Ç¡¼¥¿¤È¥Ú¥¤¥í¡¼¥É¤ÎξÊý¤ò
-¥³¥Ô¡¼¤¹¤ë¤Î¤«»ØÄꤹ¤ë¡£¤³¤Î´Ø¿ô¤Ï¤Þ¤¿ ip_queue ¤Ë
-¥¢¥×¥ê¥±¡¼¥·¥ç¥ó¤¬¥¥å¡¼¥á¥Ã¥»¡¼¥¸ (queue message)¤ò¼õ¤±
-¼è¤ë½àÈ÷¤¬¤Ç¤¤¿¤³¤È¤òÄÌÃΤ¹¤ë¡£
+は、ユーザ空間にパケットのメタデータだけを
+コピーするのか、パケットのメタデータとペイロードの両方を
+コピーするのか指定する。この関数はまた ip_queue に
+アプリケーションがキューメッセージ (queue message)を受け
+取る準備ができたことを通知する。
.PP
.\"O .B Receiving Packets from the Queue
-.B ¥¥å¡¼¤«¤é¥Ñ¥±¥Ã¥È¤ò¼õ¿®¤¹¤ë
+.B キューからパケットを受信する
.br
.\"O .BR ipq_read (3)
.\"O waits for queue messages to arrive from ip_queue and copies
.\"O or
.\"O .I error messages.
.BR ipq_read (3)
-´Ø¿ô¤Ï ip_queue ¤«¤é¤Î¥¥å¡¼¥á¥Ã¥»¡¼¥¸¤ò
-ÂԤäơ¢¥Ð¥Ã¥Õ¥¡¤Ë¥³¥Ô¡¼¤¹¤ë¡£ ¥¥å¡¼¥á¥Ã¥»¡¼¥¸¤Ï
-.I ¥Ñ¥±¥Ã¥È ¥á¥Ã¥»¡¼¥¸
-¤Þ¤¿¤Ï
-.I ¥¨¥é¡¼¥á¥Ã¥»¡¼¥¸
-¤Î¤É¤Á¤é¤« ¤Ç¤¢¤ë¡£
+関数は ip_queue からのキューメッセージを
+待って、バッファにコピーする。 キューメッセージは
+.I ã\83\91ã\82±ã\83\83ã\83\88 ã\83¡ã\83\83ã\82»ã\83¼ã\82¸
+または
+.I ã\82¨ã\83©ã\83¼ã\83¡ã\83\83ã\82»ã\83¼ã\82¸
+のどちらか である。
.PP
.\"O The type of packet may be determined with
.\"O .BR ipq_message_type (3).
-¥Ñ¥±¥Ã¥È¤Î¥¿¥¤¥×¤Ï
+パケットのタイプは
.BR ipq_message_type (3)
-¤Ç¼èÆÀ¤¹¤ë¡£
+で取得する。
.PP
.\"O If it's a packet message, the metadata and optional payload may be retrieved with
.\"O .BR ipq_get_packet (3).
-¥Ñ¥±¥Ã¥È¥á¥Ã¥»¡¼¥¸¤Î¾ì¹ç¤Ï¡¢¥á¥¿¥Ç¡¼¥¿¤È¥Ú¥¤¥í¡¼¥É¤ò
+パケットメッセージの場合は、メタデータとペイロードを
.BR ipq_get_packet (3)
-´Ø¿ô¤Ç¼èÆÀ¤Ç¤¤ë¡£
+関数で取得できる。
.PP
.\"O To retrieve the value of an error message, use
.\"O .BR ipq_get_msgerr (3).
-¥¨¥é¡¼¥á¥Ã¥»¡¼¥¸¤ÎÃͤò¼èÆÀ¤¹¤ë¤Ë¤Ï¡¢
+エラーメッセージの値を取得するには、
.BR ipq_get_msgerr (3)
-¤ò »ÈÍѤ¹¤ë¡£
+を 使用する。
.PP
.\"O .B Issuing Verdicts on Packets
-.B ¥Ñ¥±¥Ã¥È¤Î½èÍýÆâÍƤÎȯ¹Ô
+.B パケットの処理内容の発行
.br
.\"O To issue a verdict on a packet, and optionally return a modified version
.\"O of the packet to the kernel, call
.\"O .BR ipq_set_verdict (3).
-¥Ñ¥±¥Ã¥È¤Î½èÍý¤ò·èÄꤷ¡¢É¬Íפʤé¥Ñ¥±¥Ã¥È¤ËÊѹ¹¤ò²Ã¤¨¤Æ
-¥«¡¼¥Í¥ë¤ËÊÖ¤¹»þ¤Ë¤Ï¡¢
+パケットの処理を決定し、必要ならパケットに変更を加えて
+カーネルに返す時には、
.BR ipq_set_verdict (3)
-¤ò»ÈÍѤ¹¤ë¡£
+を使用する。
.PP
.\"O .B Error Handling
-.B ¥¨¥é¡¼½èÍý
+.B エラー処理
.br
.\"O An error string corresponding to the current value of the internal error
.\"O variable
.\"O .B ipq_errno
.\"O may be obtained with
.\"O .BR ipq_errstr (3).
-¸½ºß¤Î¥¨¥é¡¼¾õÂÖ¤ò³ÊǼ¤·¤Æ¤¤¤ëÊÑ¿ô
+現在のエラー状態を格納している変数
.B ipq_errno
-¤ËÂбþ¤¹¤ë
-¥¨¥é¡¼Ê¸»úÎó¤Ï
+に対応する
+エラー文字列は
.BR ipq_errstr (3).
-¤Ç¼èÆÀ¤Ç¤¤ë¡£
+で取得できる。
.PP
.\"O For simple applications, calling
.\"O .BR ipq_perror (3)
.\"O as well as the string corresponding to the global
.\"O .B errno
.\"O value (if set) to stderr.
-ñ½ã¤Ê¥¢¥×¥ê¥±¡¼¥·¥ç¥ó¤Ë»È¤¨¤ë´Ø¿ô¤È¤·¤Æ¡¢
+単純なアプリケーションに使える関数として、
.BR ipq_perror (3)
-¤Ï¡¢
+は、
.BR ipq_errstr (3),
-¤ÇÊÖ¤µ¤ì¤ë¤Î¤ÈƱ¤¸Ê¸»úÎó¤òɸ½à½ÐÎÏ (stderr) ¤Ë
-½ÐÎϤ¹¤ë¡£ ¤Þ¤¿¡¢
+で返されるのと同じ文字列を標準出力 (stderr) に
+出力する。 また、
.B errno
-¤¬¥»¥Ã¥È¤µ¤ì¤Æ¤¤¤ì¤Ð
-¤½¤ì¤ËÂбþ¤¹¤ë¥¨¥é¡¼Ê¸»úÎó¤â½ÐÎϤ¹¤ë¡£
+がセットされていれば
+それに対応するエラー文字列も出力する。
.PP
.\"O .B Cleaning Up
-.B ¸å»ÏËö
+.B 後始末
.br
.\"O To free up the Netlink socket and destroy resources associated with
.\"O the context handle, call
.\"O .BR ipq_destroy_handle (3).
-Netlink ¥½¥±¥Ã¥È¤ò²òÊü¤·¡¢¥³¥ó¥Æ¥¥¹¥È¥Ï¥ó¥É¥ë¤Ë´ØÏ¢ÉÕ¤±
-¤é¤ì¤¿¥ê¥½¡¼¥¹¤òºï½ü¤¹¤ë¤Ë¤Ï¡¢
+Netlink ソケットを解放し、コンテキストハンドルに関連付け
+られたリソースを削除するには、
.BR ipq_destroy_handle (3)
-´Ø¿ô¤ò»ÈÍѤ¹¤ë¡£
+関数を使用する。
.\"O .SH SUMMARY
-.SH ¤Þ¤È¤á
+.SH まとめ
.TP 4
.BR ipq_create_handle (3)
.\"O Initialise library, return context handle.
-¤Ï¡¢¥é¥¤¥Ö¥é¥ê¤ò½é´ü²½¤·¡¢¥³¥ó¥Æ¥¥¹¥È¥Ï¥ó¥É¥ë¤òÊÖ¤¹¡£
+は、ライブラリを初期化し、コンテキストハンドルを返す。
.TP
.BR ipq_set_mode (3)
.\"O Set the queue mode, to copy either packet metadata, or payloads
.\"O as well as metadata to userspace.
-¤Ï¡¢¥Ñ¥±¥Ã¥È¤Î¥á¥¿¥Ç¡¼¥¿¤À¤±¤ò¥³¥Ô¡¼¤¹¤ë¤«¡¢¥Ú¥¤¥í¡¼¥É¤â
-¥³¥Ô¡¼¤¹¤ë¤«¤ÎÆ°ºî¥â¡¼¥É¤ò¥»¥Ã¥È¤¹¤ë¡£
+は、パケットのメタデータだけをコピーするか、ペイロードも
+コピーするかの動作モードをセットする。
.TP
.BR ipq_read (3)
.\"O Wait for a queue message to arrive from ip_queue and read it into
.\"O a buffer.
-ip_queue ¤«¤é¤Î¥á¥Ã¥»¡¼¥¸¤òÂÔ¤Á¡¢¼õ¿®¤¹¤ë¤È¥Ð¥Ã¥Õ¥¡¤Ë
-Æɤ߹þ¤à¡£
+ip_queue からのメッセージを待ち、受信するとバッファに
+読み込む。
.TP
.BR ipq_message_type (3)
.\"O Determine message type in the buffer.
-¤Ï¡¢¥Ð¥Ã¥Õ¥¡¤µ¤ì¤¿¥á¥Ã¥»¡¼¥¸¤Î¥¿¥¤¥×¤òÊÖ¤¹¡£
+は、バッファされたメッセージのタイプを返す。
.TP
.BR ipq_get_packet (3)
.\"O Retrieve a packet message from the buffer.
-¤Ï¡¢¥Ð¥Ã¥Õ¥¡¤«¤é¥á¥Ã¥»¡¼¥¸¤òÆɤࡣ
+は、バッファからメッセージを読む。
.TP
.BR ipq_get_msgerr (3)
.\"O Retrieve an error message from the buffer.
-¤Ï¡¢¥Ð¥Ã¥Õ¥¡¤«¤é¥¨¥é¡¼¥á¥Ã¥»¡¼¥¸¤ò¼èÆÀ¤¹¤ë¡£
+は、バッファからエラーメッセージを取得する。
.TP
.BR ipq_set_verdict (3)
.\"O Set a verdict on a packet, optionally replacing its contents.
-¤Ï¡¢¥Ñ¥±¥Ã¥È¤ÎȽÃǤò²¼¤¹¡£ÆâÍƤò½ñ¤´¹¤¨¤ë¤³¤È¤â¤Ç¤¤ë¡£
+は、パケットの判断を下す。内容を書き換えることもできる。
.TP
.BR ipq_errstr (3)
.\"O Return an error message corresponding to the internal ipq_errno variable.
-¤Ï¡¢ÆâÉôÊÑ¿ô ipq_errno ¤ÎÃͤ˱þ¤¸¤¿¥¨¥é¡¼¥á¥Ã¥»¡¼¥¸¤ò
-ÊÖ¤¹¡£
+は、内部変数 ipq_errno の値に応じたエラーメッセージを
+返す。
.TP
.BR ipq_perror (3)
.\"O Helper function to print error messages to stderr.
-¤Ï¡¢¥¨¥é¡¼¥á¥Ã¥»¡¼¥¸¤òɸ½à½ÐÎÏ¡Êstderr¡Ë¤Ëɽ¼¨¤¹¤ë
-¥Ø¥ë¥Ñ¡¼´Ø¿ô¤Ç¤¢¤ë¡£
+は、エラーメッセージを標準出力(stderr)に表示する
+ヘルパー関数である。
.TP
.BR ipq_destroy_handle (3)
.\"O Destroy context handle and associated resources.
-¤Ï¡¢¥³¥ó¥Æ¥¥¹¥È¥Ï¥ó¥É¥ë¤òÇË´þ¤·¡¢¥ê¥½¡¼¥¹¤ò²òÊü¤¹¤ë¡£
+は、コンテキストハンドルを破棄し、リソースを解放する。
.\"O .SH EXAMPLE
-.SH Îã
+.SH 例
.\"O The following is an example of a simple application which receives
.\"O packets and issues NF_ACCEPT verdicts on each packet.
-¼¡¤Î¥³¡¼¥É¤Ï¡¢¥Ñ¥±¥Ã¥È¤ò¼õ¤±¼è¤Ã¤Æ NF_ACCEPT ¤ÎȽÃǤòÊÖ¤¹Ã±½ã¤Ê
-¥¢¥×¥ê¥±¡¼¥·¥ç¥ó¤ÎÎã¤Ç¤¢¤ë¡£
+次のコードは、パケットを受け取って NF_ACCEPT の判断を返す単純な
+アプリケーションの例である。
.RS
.nf
/*
.PP
.\"O Pointers to more libipq application examples may be found in The
.\"O Netfilter FAQ.
-libipq ¤ò»È¤Ã¤¿¥¢¥×¥ê¥±¡¼¥·¥ç¥ó¤ÎÎã¤Ï
-Netfilter FAQ ¤Ë¤â¤¢¤ë¡£
+libipq を使ったアプリケーションの例は
+Netfilter FAQ にもある。
.\"O .SH DIAGNOSTICS
.SH DIAGNOSTICS
.\"O For information about monitoring and tuning ip_queue, refer to the
.\"O Linux 2.4 Packet Filtering HOWTO.
-ip_queue ¤Î´Æ»ë¤È¥Á¥å¡¼¥Ë¥ó¥°¤Ë´Ø¤·¤Æ¤Ï Linux 2.4 Packet
-Filtering HOWTO ¤ò»²¾È¤¹¤ë¤³¤È¡£
+ip_queue の監視とチューニングに関しては Linux 2.4 Packet
+Filtering HOWTO を参照すること。
.PP
.\"O If an application modifies a packet, it needs to also update any
.\"O checksums for the packet. Typically, the kernel will silently discard
.\"O modified packets with invalid checksums.
-¥¢¥×¥ê¥±¡¼¥·¥ç¥ó¤¬¥Ñ¥±¥Ã¥È¤ËÊѹ¹¤ò²Ã¤¨¤¿»þ¤Ë¤Ï¡¢´ØÏ¢¤¹¤ë
-¥Á¥§¥Ã¥¯¥µ¥à¤âÊѹ¹¤¹¤ëɬÍפ¬¤¢¤ë¡£ Êѹ¹¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤Î
-¥Á¥§¥Ã¥¯¥µ¥à¤¬°Û¾ï¤Ê¤È¤¤Ë¤Ï¥«¡¼¥Í¥ë¤ÏÌۤäÆÇË´þ (silently discard) ¤¹¤ë¡£
+アプリケーションがパケットに変更を加えた時には、関連する
+チェックサムも変更する必要がある。 変更されたパケットの
+チェックサムが異常なときにはカーネルは黙って破棄 (silently discard) する。
.\"O .SH SECURITY
-.SH ¥»¥¥å¥ê¥Æ¥£¡¼
+.SH ã\82»ã\82ã\83¥ã\83ªã\83\86ã\82£ã\83¼
.\"O Processes require CAP_NET_ADMIN capabilty to access the kernel ip_queue
.\"O module. Such processes can potentially access and modify any IP packets
.\"O received, generated or forwarded by the kernel.
-ip_queue ¥«¡¼¥Í¥ë¥â¥¸¥å¡¼¥ë¤Ë¥¢¥¯¥»¥¹¤¹¤ë¥×¥í¥»¥¹¤Ï
-CAP_NET_ADMIN ¸¢¸Â¤¬É¬ÍפǤ¢¤ë¡£ ¤½¤Î¤è¤¦¤Ê¥×¥í¥»¥¹¤Ï¡¢
-ÀøºßŪ¤Ë¥«¡¼¥Í¥ë¤¬¼õ¿® (Á÷¿®¡¢Å¾Á÷) ¤¹¤ëÁ´¤Æ¤Î IP ¥Ñ¥±¥Ã¥È¤ò
-¼èÆÀ¤·Êѹ¹¤¹¤ë²ÄǽÀ¤¬¤¢¤ë¡£
+ip_queue カーネルモジュールにアクセスするプロセスは
+CAP_NET_ADMIN 権限が必要である。 そのようなプロセスは、
+潜在的にカーネルが受信 (送信、転送) する全ての IP パケットを
+取得し変更する可能性がある。
.\"O .SH TODO
.SH TODO
.\"O Per-handle
.\"O .B ipq_errno
.\"O values.
.B ipq_errno
-¤ò¥Ï¥ó¥É¥ë¤´¤È¤ËÍÑ°Õ¤¹¤ë¡£
+をハンドルごとに用意する。
.\"O .SH BUGS
-.SH ¥Ð¥°
+.SH ã\83\90ã\82°
.\"O Probably.
-¤¢¤ë¤«¤â¤·¤ì¤Ê¤¤¡£
+あるかもしれない。
.\"O .SH AUTHOR
-.SH Ãø¼Ô
+.SH 著者
James Morris <jmorris@intercode.com.au>
.\"O .SH COPYRIGHT
-.SH Ãøºî¸¢
+.SH 著作権
Copyright (c) 2000-2001 Netfilter Core Team.
.PP
Distributed under the GNU General Public License.
.\"O Joost Remijn implemented the
.\"O .B ipq_read
.\"O timeout feature, which appeared in the 1.2.4 release of iptables.
-Joost Remijn ¤Ï
+Joost Remijn は
.B ipq_read
-¤Î¥¿¥¤¥à¥¢¥¦¥È¤ò¼ÂÁõ¤·¤¿¡£ ¤³¤Îµ¡Ç½¤Ï iptables ¤Î 1.2.4 ¤«¤é»ÈÍѤǤ¤ë¡£
+のタイムアウトを実装した。 この機能は iptables の 1.2.4 から使用できる。
.\"O .SH SEE ALSO
-.SH ´ØÏ¢¹àÌÜ
+.SH 関連項目
.BR iptables (8),
.BR ipq_create_handle (3),
.BR ipq_destroy_handle (3),
.\"O which has links to The Networking Concepts HOWTO, The Linux 2.4 Packet
.\"O Filtering HOWTO, The Linux 2.4 NAT HOWTO, The Netfilter Hacking HOWTO,
.\"O The Netfilter FAQ and many other useful resources.
-Netfilter ¤Î¥Û¡¼¥à¥Ú¡¼¥¸¤Ï http://netfilter.samba.org/ ¤Ë¤¢¤ë¡£
+Netfilter のホームページは http://netfilter.samba.org/ にある。
The Networking Concepts HOWTO, The Linux 2.4 Packet
Filtering HOWTO, The Linux 2.4 NAT HOWTO, The Netfilter Hacking HOWTO,
-The Netfilter FAQ ¤Ê¤É¤ÎÍ±×¤Ê ¾ðÊ󤬤¢¤ë¡£
+The Netfilter FAQ などの有益な 情報がある。
.\" by Yuichi SATO <ysato444@yahoo.co.jp>
.\"
.\"O .SH NAME
-.SH ̾Á°
+.SH 名前
.\"O ip6tables-restore \- Restore IPv6 Tables
-ip6tables-restore \- IPv6 ¥Æ¡¼¥Ö¥ë¤òÉü¸µ¤¹¤ë
+ip6tables-restore \- IPv6 テーブルを復元する
.\"O .SH SYNOPSIS
-.SH ½ñ¼°
+.SH 書式
.BR "ip6tables-restore " "[-c] [-n]"
.br
.\"O .SH DESCRIPTION
-.SH ÀâÌÀ
+.SH 説明
.PP
.\"O .B ip6tables-restore
.\"O is used to restore IPv6 Tables from data specified on STDIN. Use
.\"O I/O redirection provided by your shell to read from a file
.B ip6tables-restore
-¤Ïɸ½àÆþÎϤǻØÄꤵ¤ì¤¿¥Ç¡¼¥¿¤«¤é IPv6 ¥Æ¡¼¥Ö¥ë¤òÉü¸µ¤¹¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
-¥Õ¥¡¥¤¥ë¤«¤éÆɤ߹þ¤à¤¿¤á¤Ë¤Ï¡¢
-¥·¥§¥ë¤ÇÄ󶡤µ¤ì¤Æ¤¤¤ë I/O ¥ê¥À¥¤¥ì¥¯¥·¥ç¥ó¤ò»È¤¦¤³¤È¡£
+は標準入力で指定されたデータから IPv6 テーブルを復元するために使われる。
+ファイルから読み込むためには、
+シェルで提供されている I/O リダイレクションを使うこと。
.TP
\fB\-c\fR, \fB\-\-counters\fR
.\"O restore the values of all packet and byte counters
-Á´¤Æ¤Î¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤ÎÃͤòÉü¸µ¤¹¤ë¡£
+全てのパケットカウンタとバイトカウンタの値を復元する。
.TP
\fB\-n\fR, \fB\-\-noflush\fR
.\"O .TP
.\"O don't flush the previous contents of the table. If not specified,
.\"O .B ip6tables-restore
.\"O flushes (deletes) all previous contents of the respective IPv6 Table.
-¤³¤ì¤Þ¤Ç¤Î¥Æ¡¼¥Ö¥ë¤ÎÆâÍƤò¥Õ¥é¥Ã¥·¥å¤·¤Ê¤¤¡£
-»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¡¢
+これまでのテーブルの内容をフラッシュしない。
+指定されない場合、
.B ip6tables-restore
-¤Ï¡¢¤³¤ì¤Þ¤Ç¤Î³Æ IPv6 ¥Æ¡¼¥Ö¥ë¤ÎÆâÍƤòÁ´¤Æ¥Õ¥é¥Ã¥·¥å (ºï½ü) ¤¹¤ë¡£
+は、これまでの各 IPv6 テーブルの内容を全てフラッシュ (削除) する。
.\"O .SH BUGS
-.SH ¥Ð¥°
+.SH ã\83\90ã\82°
.\"O None known as of iptables-1.2.1 release
-iptables-1.2.1 ¥ê¥ê¡¼¥¹¤Ç¤ÏÃΤé¤ì¤Æ¤¤¤Ê¤¤¡£
+iptables-1.2.1 リリースでは知られていない。
.\"O .SH AUTHORS
-.SH Ãø¼Ô
+.SH 著者
Harald Welte <laforge@gnumonks.org>
.br
Andras Kis-Szabo <kisza@sch.bme.hu>
.\"O .SH SEE ALSO
-.SH ´ØÏ¢¹àÌÜ
+.SH 関連項目
.BR ip6tables-save "(8), " ip6tables "(8) "
.PP
.\"O The iptables-HOWTO, which details more iptables usage, the NAT-HOWTO,
.\"O which details NAT, and the netfilter-hacking-HOWTO which details the
.\"O internals.
-¤è¤ê¿¤¯¤Î iptables ¤Î»ÈÍÑË¡¤Ë¤Ä¤¤¤Æ
-¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë iptables-HOWTO¡£
-NAT ¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë NAT-HOWTO¡£
-ÆâÉô¹½Â¤¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë netfilter-hacking-HOWTO¡£
+より多くの iptables の使用法について
+詳細に説明している iptables-HOWTO。
+NAT について詳細に説明している NAT-HOWTO。
+内部構造について詳細に説明している netfilter-hacking-HOWTO。
.\" by Yuichi SATO <ysato444@yahoo.co.jp>
.\"
.\"O .SH NAME
-.SH ̾Á°
+.SH 名前
.\"O ip6tables-save \- Save IPv6 Tables
-ip6tables-save \- IPv6 ¥Æ¡¼¥Ö¥ë¤òÊݸ¤¹¤ë
+ip6tables-save \- IPv6 テーブルを保存する
.\"O .SH SYNOPSIS
-.SH ½ñ¼°
+.SH 書式
.BR "ip6tables-save " "[-c] [-t table]"
.br
.\"O .SH DESCRIPTION
-.SH ÀâÌÀ
+.SH 説明
.PP
.\"O .B ip6tables-save
.\"O is used to dump the contents of an IPv6 Table in easily parseable format
.\"O to STDOUT. Use I/O-redirection provided by your shell to write to a file.
.B ip6tables-save
-¤Ï IPv6 ¥Æ¡¼¥Ö¥ë¤ÎÆâÍƤò´Êñ¤Ë²òÀϤǤ¤ë·Á¼°¤Ç
-ɸ½à½ÐÎϤ˥À¥ó¥×¤¹¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
-¥Õ¥¡¥¤¥ë¤Ë½ñ¤½Ð¤¹¤¿¤á¤Ë¤Ï¡¢
-¥·¥§¥ë¤ÇÄ󶡤µ¤ì¤Æ¤¤¤ë I/O ¥ê¥À¥¤¥ì¥¯¥·¥ç¥ó¤ò»È¤¦¤³¤È¡£
+は IPv6 テーブルの内容を簡単に解析できる形式で
+標準出力にダンプするために使われる。
+ファイルに書き出すためには、
+シェルで提供されている I/O リダイレクションを使うこと。
.TP
\fB\-c\fR, \fB\-\-counters\fR
.\"O include the current values of all packet and byte counters in the output
-Á´¤Æ¤Î¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤Î¸½ºß¤ÎÃͤò½ÐÎϤ¹¤ë¡£
+全てのパケットカウンタとバイトカウンタの現在の値を出力する。
.TP
\fB\-t\fR, \fB\-\-table\fR \fBtablename\fR
.\"O .TP
.\"O restrict output to only one table. If not specified, output includes all
.\"O available tables.
-½ÐÎϤò 1 ¤Ä¤Î¥Æ¡¼¥Ö¥ë¤Î¤ß¤ËÀ©¸Â¤¹¤ë¡£
-»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¡¢ÆÀ¤é¤ì¤¿Á´¤Æ¤Î¥Æ¡¼¥Ö¥ë¤ò½ÐÎϤ¹¤ë¡£
+出力を 1 つのテーブルのみに制限する。
+指定されない場合、得られた全てのテーブルを出力する。
.\"O .SH BUGS
-.SH ¥Ð¥°
+.SH ã\83\90ã\82°
.\"O None known as of iptables-1.2.1 release
-iptables-1.2.1 ¥ê¥ê¡¼¥¹¤Ç¤ÏÃΤé¤ì¤Æ¤¤¤Ê¤¤¡£
+iptables-1.2.1 リリースでは知られていない。
.\"O .SH AUTHORS
-.SH Ãø¼Ô
+.SH 著者
Harald Welte <laforge@gnumonks.org>
.br
Andras Kis-Szabo <kisza@sch.bme.hu>
.\"O .SH SEE ALSO
-.SH ´ØÏ¢¹àÌÜ
+.SH 関連項目
.BR ip6tables-restore "(8), " ip6tables "(8) "
.PP
.\"O The iptables-HOWTO, which details more iptables usage, the NAT-HOWTO,
.\"O which details NAT, and the netfilter-hacking-HOWTO which details the
.\"O internals.
-¤è¤ê¿¤¯¤Î iptables ¤Î»ÈÍÑË¡¤Ë¤Ä¤¤¤Æ
-¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë iptables-HOWTO¡£
-NAT ¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë NAT-HOWTO¡£
-ÆâÉô¹½Â¤¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë netfilter-hacking-HOWTO¡£
+より多くの iptables の使用法について
+詳細に説明している iptables-HOWTO。
+NAT について詳細に説明している NAT-HOWTO。
+内部構造について詳細に説明している netfilter-hacking-HOWTO。
.\" Updated & Modified Sun Feb 8 14:05:26 JST 2004
.\" by Yuichi SATO <ysato444@yahoo.co.jp>
.\"
-.\"WORD: chain ¥Á¥§¥¤¥ó
-.\"WORD: built-in chain ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó
-.\"WORD: non-terminating target Èó½ªÎ»¥¿¡¼¥²¥Ã¥È
+.\"WORD: chain チェイン
+.\"WORD: built-in chain 組み込み済みチェイン
+.\"WORD: non-terminating target 非終了ターゲット
.\"
.\"O .SH NAME
-.SH ̾Á°
+.SH 名前
.\"O ip6tables \- IPv6 packet filter administration
-ip6tables \- IPv6 ¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¤ò´ÉÍý¤¹¤ë
+ip6tables \- IPv6 パケットフィルタを管理する
.\"O .SH SYNOPSIS
-.SH ½ñ¼°
+.SH 書式
.\"O .BR "ip6tables [-t table] -[AD] " "chain rule-specification [options]"
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -[AD] " "¥Á¥§¥¤¥ó ¥ë¡¼¥ë¤Î¾ÜºÙ [¥ª¥×¥·¥ç¥ó]"
+.BR "ip6tables [-t テーブル] -[AD] " "チェイン ルールの詳細 [オプション]"
.br
.\"O .BR "ip6tables [-t table] -I " "chain [rulenum] rule-specification [options]"
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -I " "¥Á¥§¥¤¥ó [¥ë¡¼¥ëÈÖ¹æ] ¥ë¡¼¥ë¤Î¾ÜºÙ [¥ª¥×¥·¥ç¥ó]"
+.BR "ip6tables [-t テーブル] -I " "チェイン [ルール番号] ルールの詳細 [オプション]"
.br
.\"O .BR "ip6tables [-t table] -R " "chain rulenum rule-specification [options]"
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -R " "¥Á¥§¥¤¥ó ¥ë¡¼¥ëÈÖ¹æ ¥ë¡¼¥ë¤Î¾ÜºÙ [¥ª¥×¥·¥ç¥ó]"
+.BR "ip6tables [-t テーブル] -R " "チェイン ルール番号 ルールの詳細 [オプション]"
.br
.\"O .BR "ip6tables [-t table] -D " "chain rulenum [options]"
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -D " "¥Á¥§¥¤¥ó ¥ë¡¼¥ëÈÖ¹æ [¥ª¥×¥·¥ç¥ó]"
+.BR "ip6tables [-t テーブル] -D " "チェイン ルール番号 [オプション]"
.br
.\"O .BR "ip6tables [-t table] -[LFZ] " "[chain] [options]"
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -[LFZ] " "[¥Á¥§¥¤¥ó] [¥ª¥×¥·¥ç¥ó]"
+.BR "ip6tables [-t テーブル] -[LFZ] " "[チェイン] [オプション]"
.br
.\"O .BR "ip6tables [-t table] -N " "chain"
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -N " "¥Á¥§¥¤¥ó"
+.BR "ip6tables [-t テーブル] -N " "チェイン"
.br
.\"O .BR "ip6tables [-t table] -X " "[chain]"
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -X " "[¥Á¥§¥¤¥ó]"
+.BR "ip6tables [-t テーブル] -X " "[チェイン]"
.br
.\"O .BR "ip6tables [-t table] -P " "chain target [options]"
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -P " "¥Á¥§¥¤¥ó ¥¿¡¼¥²¥Ã¥È [¥ª¥×¥·¥ç¥ó]"
+.BR "ip6tables [-t テーブル] -P " "チェイン ターゲット [オプション]"
.br
.\"O .BR "ip6tables [-t table] -E " "old-chain-name new-chain-name"
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -E " "µì¥Á¥§¥¤¥ó̾ ¿·¥Á¥§¥¤¥ó̾"
+.BR "ip6tables [-t テーブル] -E " "旧チェイン名 新チェイン名"
.\"O .SH DESCRIPTION
-.SH ÀâÌÀ
+.SH 説明
.\"O .B Ip6tables
.\"O is used to set up, maintain, and inspect the tables of IPv6 packet
.\"O filter rules in the Linux kernel. Several different tables
.\"O may be defined. Each table contains a number of built-in
.\"O chains and may also contain user-defined chains.
.B ip6tables
-¤Ï Linux ¥«¡¼¥Í¥ë¤Î IPv6 ¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¥ë¡¼¥ë¤Î¥Æ¡¼¥Ö¥ë¤ò
-ÀßÄꡦ´ÉÍý¡¦¸¡ºº¤¹¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
-Ê£¿ô¤Î°Û¤Ê¤ë¥Æ¡¼¥Ö¥ë¤¬ÄêµÁ¤µ¤ì¤ë²ÄǽÀ¤¬¤¢¤ë¡£
-³Æ¥Æ¡¼¥Ö¥ë¤ÏÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤ò´Þ¤à¡£
-¤µ¤é¤Ë¥æ¡¼¥¶¡¼ÄêµÁ¤Î¥Á¥§¥¤¥ó¤ò´Þ¤à¤³¤È¤â¤Ç¤¤ë¡£
+は Linux カーネルの IPv6 パケットフィルタルールのテーブルを
+設定・管理・検査するために使われる。
+複数の異なるテーブルが定義される可能性がある。
+各テーブルは組み込み済みチェインを含む。
+さらにユーザー定義のチェインを含むこともできる。
.\"O Each chain is a list of rules which can match a set of packets. Each
.\"O rule specifies what to do with a packet that matches. This is called
.\"O a `target', which may be a jump to a user-defined chain in the same
.\"O table.
-³Æ¥Á¥§¥¤¥ó¤Ï¡¢¥Ñ¥±¥Ã¥È·²¤Ë¥Þ¥Ã¥Á¤¹¤ë¥ë¡¼¥ë¤Î¥ê¥¹¥È¤Ç¤¢¤ë¡£
-³Æ¥ë¡¼¥ë¤Ï¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤ËÂФ·¤Æ²¿¤ò¤¹¤ë¤«¤ò»ØÄꤹ¤ë¡£
-¤³¤ì¤Ï¡Ö¥¿¡¼¥²¥Ã¥È¡×¤È¸Æ¤Ð¤ì¡¢
-Ʊ¤¸¥Æ¡¼¥Ö¥ëÆâ¤Î¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤Ë¥¸¥ã¥ó¥×¤¹¤ë¤³¤È¤â¤¢¤ë¡£
+各チェインは、パケット群にマッチするルールのリストである。
+各ルールはマッチしたパケットに対して何をするかを指定する。
+これは「ターゲット」と呼ばれ、
+同じテーブル内のユーザー定義チェインにジャンプすることもある。
.\"O .SH TARGETS
-.SH ¥¿¡¼¥²¥Ã¥È
+.SH ターゲット
.\"O A firewall rule specifies criteria for a packet, and a target. If the
.\"O packet does not match, the next rule in the chain is the examined; if
.\"O it does match, then the next rule is specified by the value of the
.\"O .IR QUEUE ,
.\"O or
.\"O .IR RETURN .
-¥Õ¥¡¥¤¥¢¥¦¥©¡¼¥ë¤Î¥ë¡¼¥ë¤Ï¡¢¥Ñ¥±¥Ã¥È¤òȽÃǤ¹¤ë´ð½à¤È¥¿¡¼¥²¥Ã¥È¤ò»ØÄꤹ¤ë¡£
-¥Ñ¥±¥Ã¥È¤¬¥Þ¥Ã¥Á¤·¤Ê¤¤¾ì¹ç¡¢¥Á¥§¥¤¥óÆâ¤Î¼¡¤Î¥ë¡¼¥ë¤¬É¾²Á¤µ¤ì¤ë¡£
-¥Ñ¥±¥Ã¥È¤¬¥Þ¥Ã¥Á¤·¤¿¾ì¹ç¡¢
-¥¿¡¼¥²¥Ã¥È¤ÎÃͤˤè¤Ã¤Æ¼¡¤Î¥ë¡¼¥ë¤¬»ØÄꤵ¤ì¤ë¡£
-¥¿¡¼¥²¥Ã¥È¤ÎÃͤϡ¢¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤Î̾Á°¡¢¤Þ¤¿¤ÏÆÃÊ̤ÊÃÍ
+ファイアウォールのルールは、パケットを判断する基準とターゲットを指定する。
+パケットがマッチしない場合、チェイン内の次のルールが評価される。
+パケットがマッチした場合、
+ターゲットの値によって次のルールが指定される。
+ターゲットの値は、ユーザー定義チェインの名前、または特別な値
.IR ACCEPT ,
.IR DROP ,
.IR QUEUE ,
.I RETURN
-¤Î¤¦¤Á¤Î 1 ¤Ä¤Ç¤¢¤ë¡£
+のうちの 1 つである。
.PP
.\"O .I ACCEPT
.\"O means to let the packet through.
.I ACCEPT
-¤Ï¥Ñ¥±¥Ã¥È¤òÄ̤¹¤È¤¤¤¦°ÕÌ£¤Ç¤¢¤ë¡£
+はパケットを通すという意味である。
.\"O .I DROP
.\"O means to drop the packet on the floor.
.I DROP
-¤Ï¥Ñ¥±¥Ã¥È¤ò¾²¤ËÍ (¼Î¤Æ¤ë) ¤È¤¤¤¦°ÕÌ£¤Ç¤¢¤ë¡£
+はパケットを床に落す (捨てる) という意味である。
.\"O .I QUEUE
.\"O means to pass the packet to userspace (if supported by the kernel).
.I QUEUE
-¤Ï¥Ñ¥±¥Ã¥È¤ò¥æ¡¼¥¶¡¼¶õ´Ö¤ËÅϤ¹¤È¤¤¤¦°ÕÌ£¤Ç¤¢¤ë
-(¥«¡¼¥Í¥ë¤¬¥µ¥Ý¡¼¥È¤·¤Æ¤¤¤ì¤Ð¤Ç¤¢¤ë¤¬)¡£
+はパケットをユーザー空間に渡すという意味である
+(カーネルがサポートしていればであるが)。
.\"O .I RETURN
.\"O means stop traversing this chain and resume at the next rule in the
.\"O previous (calling) chain. If the end of a built-in chain is reached
.\"O is matched, the target specified by the chain policy determines the
.\"O fate of the packet.
.I RETURN
-¤Ï¡¢¤³¤Î¥Á¥§¥¤¥ó¤ò¸¡Æ¤¤¹¤ë¤³¤È¤òÃæ»ß¤·¤Æ¡¢
-Á°¤Î (¸Æ¤Ó½Ð¤·Â¦) ¥Á¥§¥¤¥ó¤Î¼¡¤Î¥ë¡¼¥ë¤ÇÄä»ß¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ç¤¢¤ë¡£
-ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤ÎºÇ¸å¤ËÅþ㤷¤¿¾ì¹ç¡¢
-¤Þ¤¿¤Ï¥¿¡¼¥²¥Ã¥È
+は、このチェインを検討することを中止して、
+前の (呼び出し側) チェインの次のルールで停止するという意味である。
+組み込み済みチェインの最後に到達した場合、
+またはターゲット
.I RETURN
-¤¬´Þ¤Þ¤ì¤Æ¤¤¤ëÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤Î¥ë¡¼¥ë¤Ë¥Þ¥Ã¥Á¤·¤¿¾ì¹ç¡¢
-¥Á¥§¥¤¥ó¥Ý¥ê¥·¡¼¤Ç»ØÄꤵ¤ì¤¿¥¿¡¼¥²¥Ã¥È¤¬
-¥Ñ¥±¥Ã¥È¤Î¹ÔÊý¤ò·èÄꤹ¤ë¡£
+が含まれている組み込み済みチェインのルールにマッチした場合、
+チェインポリシーで指定されたターゲットが
+パケットの行方を決定する。
.\"O .SH TABLES
-.SH ¥Æ¡¼¥Ö¥ë
+.SH テーブル
.\"O There are currently two independent tables (which tables are present
.\"O at any time depends on the kernel configuration options and which
.\"O modules are present), as nat table has not been implemented yet.
-¸½ºß¤Î¤È¤³¤í 2 ¤Ä¤ÎÆÈΩ¤Ê¥Æ¡¼¥Ö¥ë¤¬Â¸ºß¤¹¤ë
-(¤É¤Î¥Æ¡¼¥Ö¥ë¤¬¤É¤Î»þÅÀ¤Ç¸½¤ì¤ë¤«¤Ï¡¢
-¥«¡¼¥Í¥ë¤ÎÀßÄê¤ä¤É¤¦¤¤¤Ã¤¿¥â¥¸¥å¡¼¥ë¤¬Â¸ºß¤¹¤ë¤«¤Ë°Í¸¤¹¤ë)¡£
-nat ¥Æ¡¼¥Ö¥ë¤Ï¡¢¤Þ¤À¼ÂÁõ¤µ¤ì¤Æ¤¤¤Ê¤¤¡£
+現在のところ 2 つの独立なテーブルが存在する
+(どのテーブルがどの時点で現れるかは、
+カーネルの設定やどういったモジュールが存在するかに依存する)。
+nat テーブルは、まだ実装されていない。
.TP
.BI "-t, --table " "table"
.\"O This option specifies the packet matching table which the command
.\"O should operate on. If the kernel is configured with automatic module
.\"O loading, an attempt will be made to load the appropriate module for
.\"O that table if it is not already there.
-¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢¤É¤Î¥³¥Þ¥ó¥É¤òŬÍѤ¹¤Ù¤¤«¤ò·èÄꤹ¤ë¤¿¤á¤Î
-¥Ñ¥±¥Ã¥È¥Þ¥Ã¥Á¥ó¥°¥Æ¡¼¥Ö¥ë¤ò»ØÄꤹ¤ë¡£
-¥«¡¼¥Í¥ë¤Ë¼«Æ°¥â¥¸¥å¡¼¥ë¥í¡¼¥Ç¥£¥ó¥°¤¬ÀßÄꤵ¤ì¤Æ¤¤¤ë¾ì¹ç¡¢
-¤¢¤ë¥Æ¡¼¥Ö¥ë¤ËÂФ·¤ÆŬÀڤʥ⥸¥å¡¼¥ë¤¬¤Þ¤À¥í¡¼¥É¤µ¤ì¤Æ¤¤¤Ê¤±¤ì¤Ð¡¢
-¤½¤Î¥â¥¸¥å¡¼¥ë¤Î¥í¡¼¥É¤ò¹Ô¤¦¡£
+このオプションは、どのコマンドを適用すべきかを決定するための
+パケットマッチングテーブルを指定する。
+カーネルに自動モジュールローディングが設定されている場合、
+あるテーブルに対して適切なモジュールがまだロードされていなければ、
+そのモジュールのロードを行う。
.\"O The tables are as follows:
-¥Æ¡¼¥Ö¥ë¤Ï°Ê²¼¤ÎÄ̤ê¤Ç¤¢¤ë¡£
+テーブルは以下の通りである。
.RS
.TP .4i
.BR "filter" :
.\"O (for packets being routed through the box), and
.\"O .B OUTPUT
.\"O (for locally-generated packets).
-(-t ¥ª¥×¥·¥ç¥ó¤¬»ØÄꤵ¤ì¤Æ¤¤¤Ê¤¤¾ì¹ç¤Ï) ¤³¤ì¤¬¥Ç¥Õ¥©¥ë¥È¤Î¥Æ¡¼¥Ö¥ë¤Ç¤¢¤ë¡£
-¤³¤ì¤Ë¤Ï
+(-t オプションが指定されていない場合は) これがデフォルトのテーブルである。
+これには
.B INPUT
-(¥Þ¥·¥ó¼«ÂΤËÆþ¤Ã¤Æ¤¯¤ë¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)¡¦
+(マシン自体に入ってくるパケットに対するチェイン)・
.B FORWARD
-(¥Þ¥·¥ó¤ò·Ðͳ¤¹¤ë¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)¡¦
+(マシンを経由するパケットに対するチェイン)・
.B OUTPUT
-(¥í¡¼¥«¥ë¥Þ¥·¥ó¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)
-¤È¤¤¤¦ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤¬´Þ¤Þ¤ì¤ë¡£
+(ローカルマシンで生成されたパケットに対するチェイン)
+という組み込み済みチェインが含まれる。
.TP
.BR "mangle" :
.\"O This table is used for specialized packet alteration. Until kernel
.\"O (for altering incoming packets before routing) and
.\"O .B OUTPUT
.\"O (for altering locally-generated packets before routing).
-¤³¤Î¥Æ¡¼¥Ö¥ë¤ÏÆÃÊ̤ʥѥ±¥Ã¥ÈÊÑ´¹¤Ë»È¤ï¤ì¤ë¡£
-¥«¡¼¥Í¥ë 2.4.17 ¤Þ¤Ç¤Ï¡¢
+このテーブルは特別なパケット変換に使われる。
+カーネル 2.4.17 までは、
.B PREROUTING
-(¥Ñ¥±¥Ã¥È¤¬Æþ¤Ã¤Æ¤¤¿¾ì¹ç¡¢
-¤¹¤°¤Ë¤½¤Î¥Ñ¥±¥Ã¥È¤òÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)¡¦
+(パケットが入ってきた場合、
+すぐにそのパケットを変換するためのチェイン)・
.B OUTPUT
-(¥í¡¼¥«¥ë¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤ò
-¥ë¡¼¥Æ¥£¥ó¥°¤ÎÁ°¤ËÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)
-¤È¤¤¤¦ 2 ¤Ä¤ÎÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤¬´Þ¤Þ¤ì¤Æ¤¤¤¿¡£
+(ローカルで生成されたパケットを
+ルーティングの前に変換するためのチェイン)
+という 2 つの組み込み済みチェインが含まれていた。
.\"O Since kernel 2.4.18, three other built-in chains are also supported:
.\"O .B INPUT
.\"O (for packets coming into the box itself),
.\"O (for altering packets being routed through the box), and
.\"O .B POSTROUTING
.\"O (for altering packets as they are about to go out).
-¥«¡¼¥Í¥ë 2.4.18 ¤«¤é¤Ï¡¢¤³¤ì¤é¤Î¾¤Ë
+カーネル 2.4.18 からは、これらの他に
.B INPUT
-(¥Þ¥·¥ó¼«ÂΤËÆþ¤Ã¤Æ¤¯¤ë¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)¡¦
+(マシン自体に入ってくるパケットに対するチェイン)・
.B FORWARD
-(¥Þ¥·¥ó¤ò·Ðͳ¤¹¤ë¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)¡¦
+(マシンを経由するパケットに対するチェイン)・
.B POSTROUTING
-(¥Ñ¥±¥Ã¥È¤¬½Ð¤Æ¹Ô¤¯¤È¤¤ËÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)¡¦
-¤È¤¤¤¦ 3 ¤Ä¤ÎÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤â¥µ¥Ý¡¼¥È¤µ¤ì¤ë¡£
+(パケットが出て行くときに変換するためのチェイン)・
+という 3 つの組み込み済みチェインもサポートされる。
.RE
.\"O .SH OPTIONS
-.SH ¥ª¥×¥·¥ç¥ó
+.SH オプション
.\"O The options that are recognized by
.\"O .B ip6tables
.\"O can be divided into several different groups.
.B ip6tables
-¤Ç»È¤¨¤ë¥ª¥×¥·¥ç¥ó¤Ï¡¢¤¤¤¯¤Ä¤«¤Î¥°¥ë¡¼¥×¤Ëʬ¤±¤é¤ì¤ë¡£
+で使えるオプションは、いくつかのグループに分けられる。
.\"O .SS COMMANDS
-.SS ¥³¥Þ¥ó¥É
+.SS コマンド
.\"O These options specify the specific action to perform. Only one of them
.\"O can be specified on the command line unless otherwise specified
.\"O below. For all the long versions of the command and option names, you
.\"O need to use only enough letters to ensure that
.\"O .B ip6tables
.\"O can differentiate it from all other options.
-¤³¤ì¤é¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢¼Â¹Ô¤¹¤ëÆÃÄê¤ÎÆ°ºî¤ò»ØÄꤹ¤ë¡£
-°Ê²¼¤ÎÀâÌÀ¤Çµö²Ä¤µ¤ì¤Æ¤¤¤Ê¤¤¸Â¤ê¡¢
-¤³¤ÎÃæ¤Î 1 ¤Ä¤·¤«¥³¥Þ¥ó¥É¥é¥¤¥ó¤Ç»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤Ê¤¤¡£
-Ť¤¥Ð¡¼¥¸¥ç¥ó¤Î¥³¥Þ¥ó¥É̾¤È¥ª¥×¥·¥ç¥ó̾¤Ï¡¢
+これらのオプションは、実行する特定の動作を指定する。
+以下の説明で許可されていない限り、
+この中の 1 つしかコマンドラインで指定することができない。
+長いバージョンのコマンド名とオプション名は、
.B ip6tables
-¤¬Â¾¤Î¥³¥Þ¥ó¥É̾¤ä¥ª¥×¥·¥ç¥ó̾¤È¶èÊ̤Ǥ¤ëÈϰϤÇ
-(ʸ»ú¤ò¾Êά¤·¤Æ) »ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë¡£
+が他のコマンド名やオプション名と区別できる範囲で
+(文字を省略して) 指定することもできる。
.TP
.BI "-A, --append " "chain rule-specification"
.\"O Append one or more rules to the end of the selected chain.
.\"O When the source and/or destination names resolve to more than one
.\"O address, a rule will be added for each possible address combination.
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤ÎºÇ¸å¤Ë 1 ¤Ä°Ê¾å¤Î¥ë¡¼¥ë¤òÄɲ乤롣
-Á÷¿®¸µ¤äÁ÷¿®Àè¤Î̾Á°¤¬ 1 ¤Ä°Ê¾å¤Î¥¢¥É¥ì¥¹¤ËÂбþ¤·¤Æ¤¤¤ë¾ì¹ç¡¢
-²Äǽ¤Ê¥¢¥É¥ì¥¹¤ÎÁȹ礻¤Î¤½¤ì¤¾¤ì¤Ë¤Ä¤¤¤Æ¥ë¡¼¥ë¤¬Äɲ䵤ì¤ë¡£
+選択されたチェインの最後に 1 つ以上のルールを追加する。
+送信元や送信先の名前が 1 つ以上のアドレスに対応している場合、
+可能なアドレスの組合せのそれぞれについてルールが追加される。
.TP
.BI "-D, --delete " "chain rule-specification"
.ns
.\"O Delete one or more rules from the selected chain. There are two
.\"O versions of this command: the rule can be specified as a number in the
.\"O chain (starting at 1 for the first rule) or a rule to match.
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤«¤é 1 ¤Ä°Ê¾å¤Î¥ë¡¼¥ë¤òºï½ü¤¹¤ë¡£
-¤³¤Î¥³¥Þ¥ó¥É¤Ë¤Ï 2 ¤Ä¤Î»È¤¤Êý¤¬¤¢¤ë:
-¥Á¥§¥¤¥ó¤ÎÃæ¤ÎÈÖ¹æ (ºÇ½é¤Î¥ë¡¼¥ë¤ò 1 ¤È¤¹¤ë) ¤ò»ØÄꤹ¤ë¾ì¹ç¤È¡¢
-¥Þ¥Ã¥Á¤¹¤ë¥ë¡¼¥ë¤ò»ØÄꤹ¤ë¾ì¹ç¤Ç¤¢¤ë¡£
+選択されたチェインから 1 つ以上のルールを削除する。
+このコマンドには 2 つの使い方がある:
+チェインの中の番号 (最初のルールを 1 とする) を指定する場合と、
+マッチするルールを指定する場合である。
.TP
.B "-I, --insert"
.\"O Insert one or more rules in the selected chain as the given rule
.\"O number. So, if the rule number is 1, the rule or rules are inserted
.\"O at the head of the chain. This is also the default if no rule number
.\"O is specified.
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤Ë¥ë¡¼¥ëÈÖ¹æ¤ò»ØÄꤷ¤Æ 1 ¤Ä°Ê¾å¤Î¥ë¡¼¥ë¤òÁÞÆþ¤¹¤ë¡£
-¥ë¡¼¥ëÈֹ椬 1 ¤Î¾ì¹ç¡¢¥ë¡¼¥ë¤Ï¥Á¥§¥¤¥ó¤ÎÀèƬ¤ËÁÞÆþ¤µ¤ì¤ë¡£
-¤³¤ì¤Ï¥ë¡¼¥ëÈֹ椬»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¤Î¥Ç¥Õ¥©¥ë¥È¤Ç¤â¤¢¤ë¡£
+選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。
+ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。
+これはルール番号が指定されない場合のデフォルトでもある。
.TP
.BI "-R, --replace " "chain rulenum rule-specification"
.\"O Replace a rule in the selected chain. If the source and/or
.\"O destination names resolve to multiple addresses, the command will
.\"O fail. Rules are numbered starting at 1.
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤Ë¤¢¤ë¥ë¡¼¥ë¤òÃÖ¤´¹¤¨¤ë¡£
-Á÷¿®¸µ¤äÁ÷¿®Àè¤Î̾Á°¤¬ 1 ¤Ä°Ê¾å¤Î¥¢¥É¥ì¥¹¤ËÂбþ¤·¤Æ¤¤¤ë¾ì¹ç¤Ï¼ºÇÔ¤¹¤ë¡£
-¥ë¡¼¥ë¤Ë¤Ï 1 ¤«¤é»Ï¤Þ¤ëÈֹ椬ÉÕ¤±¤é¤ì¤Æ¤¤¤ë¡£
+選択されたチェインにあるルールを置き換える。
+送信元や送信先の名前が 1 つ以上のアドレスに対応している場合は失敗する。
+ルールには 1 から始まる番号が付けられている。
.TP
.BR "-L, --list " "[\fIchain\fP]"
.\"O List all rules in the selected chain. If no chain is selected, all
.\"O chains are listed. As every other iptables command, it applies to the
.\"O specified table (filter is the default), so mangle rules get listed by
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤Ë¤¢¤ëÁ´¤Æ¤Î¥ë¡¼¥ë¤ò°ìÍ÷ɽ¼¨¤¹¤ë¡£
-¥Á¥§¥¤¥ó¤¬»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¡¢Á´¤Æ¤Î¥Á¥§¥¤¥ó¤Ë¤¢¤ë¥ê¥¹¥È¤¬°ìÍ÷ɽ¼¨¤µ¤ì¤ë¡£
-¾¤Î³Æ iptables ¥³¥Þ¥ó¥É¤ÈƱÍͤˡ¢
-»ØÄꤵ¤ì¤¿¥Æ¡¼¥Ö¥ë (¥Ç¥Õ¥©¥ë¥È¤Ï filter) ¤ËÂФ·¤ÆºîÍѤ¹¤ë¡£
-¤è¤Ã¤Æ mangle ¥ë¡¼¥ë¤òɽ¼¨¤¹¤ë¤Ë¤Ï°Ê²¼¤Î¤è¤¦¤Ë¤¹¤ë¡£
+選択されたチェインにある全てのルールを一覧表示する。
+チェインが指定されない場合、全てのチェインにあるリストが一覧表示される。
+他の各 iptables コマンドと同様に、
+指定されたテーブル (デフォルトは filter) に対して作用する。
+よって mangle ルールを表示するには以下のようにする。
.nf
ip6tables -t mangle -n -L
.fi
.\"O Please note that it is often used with the
.\"O .B -n
.\"O option, in order to avoid long reverse DNS lookups.
-DNS ¤ÎµÕ°ú¤¤òÈò¤±¤ë¤¿¤á¤Ë¡¢¤è¤¯
+DNS の逆引きを避けるために、よく
.B -n
-¥ª¥×¥·¥ç¥ó¤È¶¦¤Ë»ÈÍѤµ¤ì¤ë¡£
+オプションと共に使用される。
.\"O It is legal to specify the
.\"O chains are listed. It is legal to specify the
.\"O .B -Z
.\"O listed and zeroed. The exact output is affected by the other
.\"O arguments given. The exact rules are suppressed until you use
.B -Z
-(¥¼¥í²½) ¥ª¥×¥·¥ç¥ó¤òƱ»þ¤Ë»ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë¡£
-¤³¤Î¾ì¹ç¡¢¥Á¥§¥¤¥ó¤ÏÍ×ÁÇËè¤Ë¥ê¥¹¥È¤µ¤ì¤Æ¡¢
-(ÌõÃð: ¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤¬) ¥¼¥í¤Ë¤µ¤ì¤ë¡£
-¤É¤Î¤è¤¦¤Ë½ÐÎϤ¹¤ë¤«¤Ï¡¢Í¿¤¨¤é¤ì¤ë¾¤Î°ú¤¿ô¤Ë±Æ¶Á¤µ¤ì¤ë¡£
+(ゼロ化) オプションを同時に指定することもできる。
+この場合、チェインは要素毎にリストされて、
+(訳註: パケットカウンタとバイトカウンタが) ゼロにされる。
+どのように出力するかは、与えられる他の引き数に影響される。
.nf
ip6tables -L -v
.fi
-¤ò»È¤ï¤Ê¤¤¸Â¤ê¡¢(ÌõÃð: -v ¥ª¥×¥·¥ç¥ó¤ò»ØÄꤷ¤Ê¤¤¸Â¤ê)
-¼ÂºÝ¤Î¥ë¡¼¥ë¤½¤Î¤â¤Î¤Ïɽ¼¨¤µ¤ì¤Ê¤¤¡£
+を使わない限り、(訳註: -v オプションを指定しない限り)
+実際のルールそのものは表示されない。
.TP
.BR "-F, --flush " "[\fIchain\fP]"
.\"O Flush the selected chain (all the chains in the table if none is given).
.\"O This is equivalent to deleting all the rules one by one.
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó
-(²¿¤â»ØÄꤵ¤ì¤Ê¤±¤ì¤Ð¥Æ¡¼¥Ö¥ëÆâ¤ÎÁ´¤Æ¤Î¥Á¥§¥¤¥ó) ¤ÎÆâÍƤòÁ´¾Ãµî¤¹¤ë¡£
-¤³¤ì¤ÏÁ´¤Æ¤Î¥ë¡¼¥ë¤ò 1 ¸Ä¤º¤Äºï½ü¤¹¤ë¤Î¤ÈƱ¤¸¤Ç¤¢¤ë¡£
+選択されたチェイン
+(何も指定されなければテーブル内の全てのチェイン) の内容を全消去する。
+これは全てのルールを 1 個ずつ削除するのと同じである。
.TP
.BR "-Z, --zero " "[\fIchain\fP]"
.\"O Zero the packet and byte counters in all chains. It is legal to
.\"O .B "-L, --list"
.\"O (list) option as well, to see the counters immediately before they are
.\"O cleared. (See above.)
-¤¹¤Ù¤Æ¤Î¥Á¥§¥¤¥ó¤Î¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤ò¥¼¥í¤Ë¤¹¤ë¡£
-¥¯¥ê¥¢¤µ¤ì¤ëľÁ°¤Î¥«¥¦¥ó¥¿¤ò¸«¤ë¤¿¤á¤Ë¡¢
+すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。
+クリアされる直前のカウンタを見るために、
.B "-L, --list"
-(°ìÍ÷ɽ¼¨) ¥ª¥×¥·¥ç¥ó¤ÈƱ»þ¤Ë»ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë (¾åµ¤ò»²¾È)¡£
+(一覧表示) オプションと同時に指定することもできる (上記を参照)。
.TP
.BI "-N, --new-chain " "chain"
.\"O Create a new user-defined chain by the given name. There must be no
.\"O target of that name already.
-»ØÄꤷ¤¿Ì¾Á°¤Ç¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤òºîÀ®¤¹¤ë¡£
-Ʊ¤¸Ì¾Á°¤Î¥¿¡¼¥²¥Ã¥È¤¬´û¤Ë¸ºß¤·¤Æ¤Ï¤Ê¤é¤Ê¤¤¡£
+指定した名前でユーザー定義チェインを作成する。
+同じ名前のターゲットが既に存在してはならない。
.TP
.BR "-X, --delete-chain " "[\fIchain\fP]"
.\"O Delete the optional user-defined chain specified. There must be no references
.\"O to the chain. If there are, you must delete or replace the referring
.\"O rules before the chain can be deleted. If no argument is given, it
.\"O will attempt to delete every non-builtin chain in the table.
-¥ª¥×¥·¥ç¥ó¤Î¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤òºï½ü¤¹¤ë¡£
-¤½¤Î¥Á¥§¥¤¥ó¤¬»²¾È¤µ¤ì¤Æ¤¤¤Æ¤Ï¤Ê¤é¤Ê¤¤¡£
-¥Á¥§¥¤¥ó¤òºï½ü¤¹¤ëÁ°¤Ë¡¢¤½¤Î¥Á¥§¥¤¥ó¤ò»²¾È¤·¤Æ¤¤¤ë¥ë¡¼¥ë¤ò
-ºï½ü¤¹¤ë¤«ÃÖ¤´¹¤¨¤ë¤«¤·¤Ê¤±¤ì¤Ð¤Ê¤é¤Ê¤¤¡£
-°ú¤¿ô¤¬Í¿¤¨¤é¤ì¤Ê¤¤¾ì¹ç¡¢¥Æ¡¼¥Ö¥ë¤Ë¤¢¤ë¥Á¥§¥¤¥ó¤Î¤¦¤Á
-ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤Ç¤Ê¤¤¤â¤Î¤òÁ´¤Æºï½ü¤¹¤ë¡£
+オプションのユーザー定義チェインを削除する。
+そのチェインが参照されていてはならない。
+チェインを削除する前に、そのチェインを参照しているルールを
+削除するか置き換えるかしなければならない。
+引き数が与えられない場合、テーブルにあるチェインのうち
+組み込み済みチェインでないものを全て削除する。
.TP
.BI "-P, --policy " "chain target"
.\"O Set the policy for the chain to the given target. See the section
.\"O for the legal targets. Only built-in (non-user-defined) chains can have
.\"O policies, and neither built-in nor user-defined chains can be policy
.\"O targets.
-¥Á¥§¥¤¥ó¤Î¥Ý¥ê¥·¡¼¤ò¡¢»ØÄꤷ¤¿¥¿¡¼¥²¥Ã¥È¤ËÀßÄꤹ¤ë¡£
-»ØÄê²Äǽ¤Ê¥¿¡¼¥²¥Ã¥È¤Ï¡Ö\fB¥¿¡¼¥²¥Ã¥È\fR¡×¤Î¾Ï¤ò»²¾È¤¹¤ë¤³¤È¡£
-(¥æ¡¼¥¶¡¼ÄêµÁ¤Ç¤Ï¤Ê¤¤) ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤Ë¤·¤«¥Ý¥ê¥·¡¼¤ÏÀßÄê¤Ç¤¤Ê¤¤¡£
-¤Þ¤¿¡¢ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤â¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤â
-¥Ý¥ê¥·¡¼¤Î¥¿¡¼¥²¥Ã¥È¤ËÀßÄꤹ¤ë¤³¤È¤Ï¤Ç¤¤Ê¤¤¡£
+チェインのポリシーを、指定したターゲットに設定する。
+指定可能なターゲットは「\fBターゲット\fR」の章を参照すること。
+(ユーザー定義ではない) 組み込み済みチェインにしかポリシーは設定できない。
+また、組み込み済みチェインもユーザー定義チェインも
+ポリシーのターゲットに設定することはできない。
.TP
.BI "-E, --rename-chain " "old-chain new-chain"
.\"O Rename the user specified chain to the user supplied name. This is
.\"O cosmetic, and has no effect on the structure of the table.
-¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤ò»ØÄꤷ¤¿Ì¾Á°¤ËÊѹ¹¤¹¤ë¡£
-¤³¤ì¤Ï¸«¤¿ÌܤÀ¤±¤ÎÊѹ¹¤Ê¤Î¤Ç¡¢¥Æ¡¼¥Ö¥ë¤Î¹½Â¤¤Ë¤Ï²¿¤â±Æ¶Á¤·¤Ê¤¤¡£
+ユーザー定義チェインを指定した名前に変更する。
+これは見た目だけの変更なので、テーブルの構造には何も影響しない。
.TP
.B -h
.\"O Help.
.\"O Give a (currently very brief) description of the command syntax.
-¥Ø¥ë¥×¡£
-(º£¤Î¤È¤³¤í¤Ï¤È¤Æ¤â´Êñ¤Ê) ¥³¥Þ¥ó¥É½ñ¼°¤ÎÀâÌÀ¤òɽ¼¨¤¹¤ë¡£
+ヘルプ。
+(今のところはとても簡単な) コマンド書式の説明を表示する。
.\"O .SS PARAMETERS
-.SS ¥Ñ¥é¥á¡¼¥¿
+.SS ã\83\91ã\83©ã\83¡ã\83¼ã\82¿
.\"O The following parameters make up a rule specification (as used in the
.\"O add, delete, insert, replace and append commands).
-°Ê²¼¤Î¥Ñ¥é¥á¡¼¥¿¤Ï (add, delete, insert,
-replace, append ¥³¥Þ¥ó¥É¤ÇÍѤ¤¤é¤ì¤Æ) ¥ë¡¼¥ë¤Î»ÅÍͤò·è¤á¤ë¡£
+以下のパラメータは (add, delete, insert,
+replace, append コマンドで用いられて) ルールの仕様を決める。
.TP
.BR "-p, --protocol " "[!] \fIprotocol\fP"
.\"O The protocol of the rule or of the packet to check.
.\"O .IR all ,
.\"O or it can be a numeric value, representing one of these protocols or a
.\"O different one. A protocol name from /etc/protocols is also allowed.
-¥ë¡¼¥ë¤Ç»È¤ï¤ì¤ë¥×¥í¥È¥³¥ë¡¢¤Þ¤¿¤Ï¥Á¥§¥Ã¥¯¤µ¤ì¤ë¥Ñ¥±¥Ã¥È¤Î¥×¥í¥È¥³¥ë¡£
-»ØÄê¤Ç¤¤ë¥×¥í¥È¥³¥ë¤Ï¡¢
+ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。
+指定できるプロトコルは、
.IR tcp ,
.IR udp ,
.IR ipv6-icmp|icmpv6 ,
.I all
-¤Î¤¤¤º¤ì¤« 1 ¤Ä¤«¡¢¿ôÃͤǤ¢¤ë¡£
-¿ôÃͤϡ¢¤³¤ì¤é¤Î¥×¥í¥È¥³¥ë¤Î 1 ¤Ä¡¢¤â¤·¤¯¤ÏÊ̤Υץí¥È¥³¥ë¤òɽ¤¹¡£
-/etc/protocols ¤Ë¤¢¤ë¥×¥í¥È¥³¥ë̾¤â»ØÄê¤Ç¤¤ë¡£
+のいずれか 1 つか、数値である。
+数値は、これらのプロトコルの 1 つ、もしくは別のプロトコルを表す。
+/etc/protocols にあるプロトコル名も指定できる。
.\"O A "!" argument before the protocol inverts the
.\"O test. The number zero is equivalent to
.\"O .IR all .
.\"O .I all
.\"O will match with all protocols and is taken as default when this
.\"O option is omitted.
-¥×¥í¥È¥³¥ë¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢¤½¤Î¥×¥í¥È¥³¥ë¤ò»ØÄꤷ¤Ê¤¤¤È¤¤¤¦°ÕÌ£¤Ë¤Ê¤ë¡£
-¿ôÃÍ 0 ¤Ï
+プロトコルの前に "!" を置くと、そのプロトコルを指定しないという意味になる。
+数値 0 は
.I all
-¤ÈÅù¤·¤¤¡£
-¥×¥í¥È¥³¥ë
+と等しい。
+プロトコル
.I all
-¤ÏÁ´¤Æ¤Î¥×¥í¥È¥³¥ë¤È¥Þ¥Ã¥Á¤·¡¢
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¾Êά¤µ¤ì¤¿ºÝ¤Î¥Ç¥Õ¥©¥ë¥È¤Ç¤¢¤ë¡£
+は全てのプロトコルとマッチし、
+このオプションが省略された際のデフォルトである。
.TP
.BR "-s, --source " "[!] \fIaddress\fP[/\fImask\fP]"
.\"O Source specification.
.\"O any name to be resolved with a remote query such as DNS is a really bad idea),
.\"O a network IPv6 address (with /mask), or a plain IPv6 address.
.\"O (the network name isn't supported now).
-Á÷¿®¸µ¤Î»ØÄê¡£
+送信元の指定。
.I address
-¤Ï¥Û¥¹¥È̾ (DNS ¤Î¤è¤¦¤Ê¥ê¥â¡¼¥È¤Ø¤ÎÌ䤤¹ç¤ï¤»¤Ç²ò·è¤¹¤ë̾Á°¤ò»ØÄꤹ¤ë¤Î¤Ï
-Èó¾ï¤ËÎɤ¯¤Ê¤¤)¡¦
-¥Í¥Ã¥È¥ï¡¼¥¯ IPv6 ¥¢¥É¥ì¥¹ (/mask ¤ò»ØÄꤹ¤ë)¡¦
-Ä̾ï¤Î IPv6 ¥¢¥É¥ì¥¹
-(º£¤Î¤È¤³¤í¡¢¥Í¥Ã¥È¥ï¡¼¥¯Ì¾¤Ï¥µ¥Ý¡¼¥È¤µ¤ì¤Æ¤¤¤Ê¤¤)¡¢¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ë¡£
+はホスト名 (DNS のようなリモートへの問い合わせで解決する名前を指定するのは
+非常に良くない)・
+ネットワーク IPv6 アドレス (/mask を指定する)・
+é\80\9a常ã\81® IPv6 ã\82¢ã\83\89ã\83¬ã\82¹
+(今のところ、ネットワーク名はサポートされていない)、のいずれかである。
.\"O The
.\"O .I mask
.\"O can be either a network mask or a plain number,
.\"O specifying the number of 1's at the left side of the network mask.
.I mask
-¤Ï¥Í¥Ã¥È¥ï¡¼¥¯¥Þ¥¹¥¯¤«¡¢
-¥Í¥Ã¥È¥ï¡¼¥¯¥Þ¥¹¥¯¤Îº¸Â¦¤Ë¤¢¤ë 1 ¤Î¿ô¤ò»ØÄꤹ¤ë¿ôÃͤǤ¢¤ë¡£
+はネットワークマスクか、
+ネットワークマスクの左側にある 1 の数を指定する数値である。
.\"O Thus, a mask of
.\"O .I 64
.\"O is equivalent to
.\"O .IR ffff:ffff:ffff:ffff:0000:0000:0000:0000 .
-¤Ä¤Þ¤ê¡¢
+つまり、
.I 64
-¤È¤¤¤¦ mask ¤Ï
+という mask は
.I ffff:ffff:ffff:ffff:0000:0000:0000:0000
-¤ËÅù¤·¤¤¡£
+に等しい。
.\"O A "!" argument before the address specification inverts the sense of
.\"O the address. The flag
.\"O .B --src
.\"O is an alias for this option.
-¥¢¥É¥ì¥¹»ØÄê¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢¤½¤Î¥¢¥É¥ì¥¹¤ò½ü³°¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ë¤Ê¤ë¡£
-¥Õ¥é¥°
+アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。
+ã\83\95ã\83©ã\82°
.B --src
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの別名である。
.TP
.BR "-d, --destination " "[!] \fIaddress\fP[/\fImask\fP]"
.\"O Destination specification.
.\"O (source) flag for a detailed description of the syntax. The flag
.\"O .B --dst
.\"O is an alias for this option.
-Á÷¿®Àè¤Î»ØÄê¡£
-½ñ¼°¤Î¾Ü¤·¤¤ÀâÌÀ¤Ë¤Ä¤¤¤Æ¤Ï¡¢
+送信先の指定。
+書式の詳しい説明については、
.B -s
-(Á÷¿®¸µ) ¥Õ¥é¥°¤ÎÀâÌÀ¤ò»²¾È¤¹¤ë¤³¤È¡£
-¥Õ¥é¥°
+(送信元) フラグの説明を参照すること。
+ã\83\95ã\83©ã\82°
.B --dst
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの別名である。
.TP
.BI "-j, --jump " "target"
.\"O This specifies the target of the rule; i.e., what to do if the packet
.\"O option is omitted in a rule, then matching the rule will have no
.\"O effect on the packet's fate, but the counters on the rule will be
.\"O incremented.
-¥ë¡¼¥ë¤Î¥¿¡¼¥²¥Ã¥È¡¢¤Ä¤Þ¤ê¡¢
-¥Ñ¥±¥Ã¥È¤¬¥Þ¥Ã¥Á¤·¤¿¾ì¹ç¤Ë¤É¤¦¤¹¤ë¤«¤ò»ØÄꤹ¤ë¡£
-¥¿¡¼¥²¥Ã¥È¤Ï¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó
-(¤½¤Î¥ë¡¼¥ë¼«¿È¤¬Æþ¤Ã¤Æ¤¤¤ë¥Á¥§¥¤¥ó°Ê³°) ¤Ç¤â¡¢
-¥Ñ¥±¥Ã¥È¤Î¹ÔÊý¤ò¨»þ¤Ë·èÄꤹ¤ëÆÃÊ̤ÊÁȤ߹þ¤ßºÑ¤ß¥¿¡¼¥²¥Ã¥È¤Ç¤â¡¢
-³ÈÄ¥¤µ¤ì¤¿¥¿¡¼¥²¥Ã¥È (°Ê²¼¤Î
-.RB ¡Ö ¥¿¡¼¥²¥Ã¥È¤Î³ÈÄ¥ ¡×
-¤ò»²¾È) ¤Ç¤â¤è¤¤¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¥ë¡¼¥ë¤ÎÃæ¤Ç¾Êά¤µ¤ì¤¿¾ì¹ç¡¢
-¥ë¡¼¥ë¤Ë¥Þ¥Ã¥Á¤·¤Æ¤â¥Ñ¥±¥Ã¥È¤Î¹ÔÊý¤Ë²¿¤â±Æ¶Á¤·¤Ê¤¤¤¬¡¢
-¥ë¡¼¥ë¤Î¥«¥¦¥ó¥¿¤Ï 1 ¤Ä²Ã»»¤µ¤ì¤ë¡£
+ルールのターゲット、つまり、
+パケットがマッチした場合にどうするかを指定する。
+ターゲットはユーザー定義チェイン
+(そのルール自身が入っているチェイン以外) でも、
+パケットの行方を即時に決定する特別な組み込み済みターゲットでも、
+拡張されたターゲット (以下の
+.RB 「 ターゲットの拡張 」
+を参照) でもよい。
+このオプションがルールの中で省略された場合、
+ルールにマッチしてもパケットの行方に何も影響しないが、
+ルールのカウンタは 1 つ加算される。
.TP
.BR "-i, --in-interface " "[!] \fIname\fP"
.\"O Name of an interface via which a packet is going to be received (only for
.RB ( INPUT ,
.BR FORWARD ,
.B PREROUTING
-¥Á¥§¥¤¥ó¤Î¤ß¤ËÆþ¤ë) ¥Ñ¥±¥Ã¥È¤ò¼õ¿®¤¹¤ë¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¡£
+チェインのみに入る) パケットを受信するインターフェース名。
.\"O When the "!" argument is used before the interface name, the
.\"O sense is inverted. If the interface name ends in a "+", then any
.\"O interface which begins with this name will match. If this option is
.\"O omitted, any interface name will match.
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢
-¤½¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ò½ü³°¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ë¤Ê¤ë¡£
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤¬ "+" ¤Ç½ª¤Ã¤Æ¤¤¤ë¾ì¹ç¡¢
-¤½¤Î̾Á°¤Ç»Ï¤Þ¤ëǤ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¾Êά¤µ¤ì¤¿¾ì¹ç¡¢
-Ǥ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+インターフェース名の前に "!" を置くと、
+そのインターフェースを除外するという意味になる。
+インターフェース名が "+" で終っている場合、
+その名前で始まる任意のインターフェース名にマッチする。
+このオプションが省略された場合、
+任意のインターフェース名にマッチする。
.TP
.BR "-o, --out-interface " "[!] \fIname\fP"
.\"O Name of an interface via which a packet is going to be sent (for packets
.\"O chains).
.RB ( FORWARD ,
.B OUTPUT
-¥Á¥§¥¤¥ó¤ËÆþ¤ë) ¥Ñ¥±¥Ã¥È¤òÁ÷¿®¤¹¤ë¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¡£
+チェインに入る) パケットを送信するインターフェース名。
.\"O When the "!" argument is used before the interface name, the
.\"O sense is inverted. If the interface name ends in a "+", then any
.\"O interface which begins with this name will match. If this option is
.\"O omitted, any interface name will match.
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢
-¤½¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ò½ü³°¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ë¤Ê¤ë¡£
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤¬ "+" ¤Ç½ª¤Ã¤Æ¤¤¤ë¾ì¹ç¡¢
-¤½¤Î̾Á°¤Ç»Ï¤Þ¤ëǤ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¾Êά¤µ¤ì¤¿¾ì¹ç¡¢
-Ǥ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+インターフェース名の前に "!" を置くと、
+そのインターフェースを除外するという意味になる。
+インターフェース名が "+" で終っている場合、
+その名前で始まる任意のインターフェース名にマッチする。
+このオプションが省略された場合、
+任意のインターフェース名にマッチする。
.TP
.\"O .\" Currently not supported (header-based)
-.\" (¥Ø¥Ã¥À¤Ë´ð¤Å¤¯¤â¤Î¤Ï) º£¤Î¤È¤³¤í¥µ¥Ý¡¼¥È¤µ¤ì¤Æ¤¤¤Ê¤¤¡£
+.\" (ヘッダに基づくものは) 今のところサポートされていない。
.\"
.\" .B "[!] " "-f, --fragment"
.\"O .\" This means that the rule only refers to second and further fragments
.\"O .\" not match any rules which specify them. When the "!" argument
.\"O .\" precedes the "-f" flag, the rule will only match head fragments, or
.\"O .\" unfragmented packets.
-.\" ¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢Ê¬³ä¤µ¤ì¤¿¥Ñ¥±¥Ã¥È (fragmented packet) ¤Î¤¦¤Á
-.\" 2 ÈÖÌܰʹߤΥѥ±¥Ã¥È¤À¤±¤ò»²¾È¤¹¤ë¥ë¡¼¥ë¤Ç¤¢¤ë¤³¤È¤ò°ÕÌ£¤·¤Æ¤¤¤ë¡£
-.\" ¤³¤Î¤è¤¦¤Ê¥Ñ¥±¥Ã¥È (¤Þ¤¿¤Ï ICMP ¥¿¥¤¥×¤Î¥Ñ¥±¥Ã¥È) ¤Ï
-.\" Á÷¿®¸µ¡¦Á÷¿®Àè¥Ý¡¼¥È¤òÃΤëÊýË¡¤¬¤Ê¤¤¤Î¤Ç¡¢
-.\" Á÷¿®¸µ¤äÁ÷¿®Àè¤ò»ØÄꤹ¤ë¤è¤¦¤Ê¥ë¡¼¥ë¤Ë¤Ï¥Þ¥Ã¥Á¤·¤Ê¤¤¡£
-.\" "-f" ¥Õ¥é¥°¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢
-.\" ʬ³ä¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤Î¤¦¤ÁºÇ½é¤Î¤â¤Î¤«¡¢
-.\" ʬ³ä¤µ¤ì¤Æ¤¤¤Ê¤¤¥Ñ¥±¥Ã¥È¤À¤±¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+.\" このオプションは、分割されたパケット (fragmented packet) のうち
+.\" 2 番目以降のパケットだけを参照するルールであることを意味している。
+.\" このようなパケット (または ICMP タイプのパケット) は
+.\" 送信元・送信先ポートを知る方法がないので、
+.\" 送信元や送信先を指定するようなルールにはマッチしない。
+.\" "-f" フラグの前に "!" を置くと、
+.\" 分割されたパケットのうち最初のものか、
+.\" 分割されていないパケットだけにマッチする。
.\" .TP
.B "-c, --set-counters " "PKTS BYTES"
.\"O This enables the administrater to initialize the packet and byte
.\"O .B APPEND,
.\"O .B REPLACE
.\"O operations)
-¤³¤Î¥ª¥×¥·¥ç¥ó¤ò»È¤¦¤È¡¢
+このオプションを使うと、
.RB ( insert ,
.BR append ,
.B replace
-Áàºî¤Ë¤ª¤¤¤Æ) ´ÉÍý¼Ô¤Ï¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤ò
-½é´ü²½¤¹¤ë¤³¤È¤¬¤Ç¤¤ë¡£
+操作において) 管理者はパケットカウンタとバイトカウンタを
+初期化することができる。
.\"O .SS "OTHER OPTIONS"
-.SS ¤½¤Î¾¤Î¥ª¥×¥·¥ç¥ó
+.SS その他のオプション
.\"O The following additional options can be specified:
-¤½¤Î¾¤Ë°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤ò»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë:
+その他に以下のオプションを指定することができる:
.TP
.B "-v, --verbose"
.\"O Verbose output. This option makes the list command show the interface
.\"O flag to change this).
.\"O For appending, insertion, deletion and replacement, this causes
.\"O detailed information on the rule or rules to be printed.
-¾ÜºÙ¤Ê½ÐÎϤò¹Ô¤¦¡£
-list ¥³¥Þ¥ó¥É¤ÎºÝ¤Ë¡¢¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¡¦
-(¤â¤·¤¢¤ì¤Ð) ¥ë¡¼¥ë¤Î¥ª¥×¥·¥ç¥ó¡¦TOS ¥Þ¥¹¥¯¤òɽ¼¨¤µ¤»¤ë¡£
-¥Ñ¥±¥Ã¥È¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤âɽ¼¨¤µ¤ì¤ë¡£
-ź»ú 'K', 'M', 'G' ¤Ï¡¢
-¤½¤ì¤¾¤ì 1000, 1,000,000, 1,000,000,000 Çܤòɽ¤¹
-(¤³¤ì¤òÊѹ¹¤¹¤ë
+詳細な出力を行う。
+list コマンドの際に、インターフェース名・
+(もしあれば) ルールのオプション・TOS マスクを表示させる。
+パケットとバイトカウンタも表示される。
+添字 'K', 'M', 'G' は、
+それぞれ 1000, 1,000,000, 1,000,000,000 倍を表す
+(これを変更する
.B -x
-¥Õ¥é¥°¤â¸«¤è)¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤ò append, insert, delete, replace ¥³¥Þ¥ó¥É¤ËŬÍѤ¹¤ë¤È¡¢
-¥ë¡¼¥ë¤Ë¤Ä¤¤¤Æ¤Î¾ÜºÙ¤Ê¾ðÊó¤òɽ¼¨¤¹¤ë¡£
+フラグも見よ)。
+このオプションを append, insert, delete, replace コマンドに適用すると、
+ルールについての詳細な情報を表示する。
.TP
.B "-n, --numeric"
.\"O Numeric output.
.\"O IP addresses and port numbers will be printed in numeric format.
.\"O By default, the program will try to display them as host names,
.\"O network names, or services (whenever applicable).
-¿ôÃͤˤè¤ë½ÐÎϤò¹Ô¤¦¡£
-IP ¥¢¥É¥ì¥¹¤ä¥Ý¡¼¥ÈÈÖ¹æ¤ò¿ôÃͤˤè¤ë¥Õ¥©¡¼¥Þ¥Ã¥È¤Çɽ¼¨¤¹¤ë¡£
-¥Ç¥Õ¥©¥ë¥È¤Ç¤Ï¡¢¤³¤Î¥×¥í¥°¥é¥à¤Ï (²Äǽ¤Ç¤¢¤ì¤Ð) ¤³¤ì¤é¤Î¾ðÊó¤ò
-¥Û¥¹¥È̾¡¦¥Í¥Ã¥È¥ï¡¼¥¯Ì¾¡¦¥µ¡¼¥Ó¥¹Ì¾¤Çɽ¼¨¤·¤è¤¦¤È¤¹¤ë¡£
+数値による出力を行う。
+IP アドレスやポート番号を数値によるフォーマットで表示する。
+デフォルトでは、このプログラムは (可能であれば) これらの情報を
+ホスト名・ネットワーク名・サービス名で表示しようとする。
.TP
.B "-x, --exact"
.\"O Expand numbers.
.\"O only relevant for the
.\"O .B -L
.\"O command.
-¸·Ì©¤Ê¿ôÃͤÇɽ¼¨¤¹¤ë¡£
-¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤ò¡¢
-K (1000 ¤Î²¿Çܤ«)¡¦M (1000K ¤Î²¿Çܤ«)¡¦G (1000M ¤Î²¿Çܤ«) ¤Ç¤Ï¤Ê¤¯¡¢
-¸·Ì©¤ÊÃͤÇɽ¼¨¤¹¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢
+厳密な数値で表示する。
+パケットカウンタとバイトカウンタを、
+K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か) ではなく、
+厳密な値で表示する。
+このオプションは、
.B -L
-¥³¥Þ¥ó¥É¤È¤·¤«´Ø·¸¤·¤Ê¤¤¡£
+コマンドとしか関係しない。
.TP
.B "--line-numbers"
.\"O When listing rules, add line numbers to the beginning of each rule,
.\"O corresponding to that rule's position in the chain.
-¥ë¡¼¥ë¤ò°ìÍ÷ɽ¼¨¤¹¤ëºÝ¡¢¤½¤Î¥ë¡¼¥ë¤¬¥Á¥§¥¤¥ó¤Î¤É¤Î°ÌÃ֤ˤ¢¤ë¤«¤òɽ¤¹
-¹ÔÈÖ¹æ¤ò³Æ¹Ô¤Î»Ï¤á¤ËÉղ乤롣
+ルールを一覧表示する際、そのルールがチェインのどの位置にあるかを表す
+行番号を各行の始めに付加する。
.TP
.B "--modprobe=command"
.\"O When adding or inserting rules into a chain, use
.\"O .B command
.\"O to load any necessary modules (targets, match extensions, etc).
-¥Á¥§¥¤¥ó¤Ë¥ë¡¼¥ë¤òÄɲäޤ¿¤ÏÁÞÆþ¤¹¤ëºÝ¤Ë¡¢
-(¥¿¡¼¥²¥Ã¥È¤ä¥Þ¥Ã¥Á¥ó¥°¤Î³ÈÄ¥¤Ê¤É¤Ç) ɬÍפʥ⥸¥å¡¼¥ë¤ò¥í¡¼¥É¤¹¤ë¤¿¤á¤Ë»È¤¦
+チェインにルールを追加または挿入する際に、
+(ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う
.B command
-¤ò»ØÄꤹ¤ë¡£
+を指定する。
.\"O .SH MATCH EXTENSIONS
-.SH ¥Þ¥Ã¥Á¥ó¥°¤Î³ÈÄ¥
+.SH マッチングの拡張
.\"O ip6tables can use extended packet matching modules. These are loaded
.\"O in two ways: implicitly, when
.\"O .B -p
.\"O or
.\"O .B --match
.\"O options, followed by the matching module name;
-ip6tables ¤Ï³ÈÄ¥¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¥Þ¥Ã¥Á¥ó¥°¥â¥¸¥å¡¼¥ë¤ò»È¤¦¤³¤È¤¬¤Ç¤¤ë¡£
-¤³¤ì¤é¤Î¥â¥¸¥å¡¼¥ë¤Ï 2 ¼ïÎà¤ÎÊýË¡¤Ç¥í¡¼¥É¤µ¤ì¤ë:
-¥â¥¸¥å¡¼¥ë¤Ï¡¢
+ip6tables は拡張されたパケットマッチングモジュールを使うことができる。
+これらのモジュールは 2 種類の方法でロードされる:
+モジュールは、
.B -p
-¤Þ¤¿¤Ï
+または
.B --protocol
-¤Ç°ÅÌۤΤ¦¤Á¤Ë»ØÄꤵ¤ì¤ë¤«¡¢
+で暗黙のうちに指定されるか、
.B -m
-¤Þ¤¿¤Ï
+または
.B --match
-¤Î¸å¤Ë¥â¥¸¥å¡¼¥ë̾¤ò³¤±¤Æ»ØÄꤵ¤ì¤ë¡£
+の後にモジュール名を続けて指定される。
.\"O after these, various
.\"O extra command line options become available, depending on the specific
.\"O module. You can specify multiple extended match modules in one line,
.\"O .B --help
.\"O options after the module has been specified to receive help specific
.\"O to that module.
-¤³¤ì¤é¤Î¥â¥¸¥å¡¼¥ë¤Î¸å¤í¤Ë¤Ï¡¢¥â¥¸¥å¡¼¥ë¤Ë±þ¤¸¤Æ
-¾¤Î¤¤¤í¤¤¤í¤Ê¥³¥Þ¥ó¥É¥é¥¤¥ó¥ª¥×¥·¥ç¥ó¤ò»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-Ê£¿ô¤Î³ÈÄ¥¥Þ¥Ã¥Á¥ó¥°¥â¥¸¥å¡¼¥ë¤ò 1 ¹Ô¤Ç»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-¤Þ¤¿¡¢¥â¥¸¥å¡¼¥ë¤ËÆÃͤΥإë¥×¤òɽ¼¨¤µ¤»¤ë¤¿¤á¤Ë¤Ï¡¢
-¥â¥¸¥å¡¼¥ë¤ò»ØÄꤷ¤¿¸å¤Ç
+これらのモジュールの後ろには、モジュールに応じて
+他のいろいろなコマンドラインオプションを指定することができる。
+複数の拡張マッチングモジュールを 1 行で指定することができる。
+また、モジュールに特有のヘルプを表示させるためには、
+モジュールを指定した後で
.B -h
-¤Þ¤¿¤Ï
+または
.B --help
-¤ò»ØÄꤹ¤ì¤Ð¤è¤¤¡£
+を指定すればよい。
.\"O The following are included in the base package, and most of these can
.\"O be preceded by a
.\"O .B !
.\"O to invert the sense of the match.
-°Ê²¼¤Î³ÈÄ¥¤¬¥Ù¡¼¥¹¥Ñ¥Ã¥±¡¼¥¸¤Ë´Þ¤Þ¤ì¤Æ¤¤¤ë¡£
-ÂçÉôʬ¤Î¤â¤Î¤Ï¡¢¥Þ¥Ã¥Á¥ó¥°¤Î°ÕÌ£¤òµÕ¤Ë¤¹¤ë¤¿¤á¤Ë
+以下の拡張がベースパッケージに含まれている。
+大部分のものは、マッチングの意味を逆にするために
.B !
-¤òÁ°¤Ë¤ª¤¯¤³¤È¤¬¤Ç¤¤ë¡£
+を前におくことができる。
.SS tcp
.\"O These extensions are loaded if `--protocol tcp' is specified. It
.\"O provides the following options:
-¤³¤ì¤é¤Î³ÈÄ¥¤Ï `--protocol tcp' ¤¬»ØÄꤵ¤ì¾ì¹ç¤Ë¥í¡¼¥É¤µ¤ì¡¢
-°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤¬Ä󶡤µ¤ì¤ë:
+これらの拡張は `--protocol tcp' が指定され場合にロードされ、
+以下のオプションが提供される:
.TP
.BR "--source-port " "[!] \fIport\fP[:\fIport\fP]"
.\"O Source port or port range specification. This can either be a service
.\"O name or a port number. An inclusive range can also be specified,
.\"O using the format
.\"O .IR port : port .
-Á÷¿®¸µ¥Ý¡¼¥È¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈϰϤλØÄê¡£
-¥µ¡¼¥Ó¥¹Ì¾¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈÖ¹æ¤ò»ØÄê¤Ç¤¤ë¡£
+送信元ポートまたはポート範囲の指定。
+サービス名またはポート番号を指定できる。
.IR port : port
-¤È¤¤¤¦·Á¼°¤Ç¡¢2 ¤Ä¤ÎÈÖ¹æ¤ò´Þ¤àÈϰϤò»ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë¡£
+という形式で、2 つの番号を含む範囲を指定することもできる。
.\"O If the first port is omitted, "0" is assumed; if the last is omitted,
.\"O "65535" is assumed.
.\"O If the second port greater then the first they will be swapped.
.\"O The flag
.\"O .B --sport
.\"O is a convenient alias for this option.
-ºÇ½é¤Î¥Ý¡¼¥È¤ò¾Êά¤·¤¿¾ì¹ç¡¢"0" ¤ò²¾Äꤹ¤ë¡£
-ºÇ¸å¤Î¥Ý¡¼¥È¤ò¾Êά¤·¤¿¾ì¹ç¡¢"65535" ¤ò²¾Äꤹ¤ë¡£
-ºÇ¸å¤Î¥Ý¡¼¥È¤¬ºÇ½é¤Î¥Ý¡¼¥È¤è¤êÂ礤¤¾ì¹ç¡¢2 ¤Ä¤ÏÆþ¤ì´¹¤¨¤é¤ì¤ë¡£
-¥Õ¥é¥°
+最初のポートを省略した場合、"0" を仮定する。
+最後のポートを省略した場合、"65535" を仮定する。
+最後のポートが最初のポートより大きい場合、2 つは入れ換えられる。
+ã\83\95ã\83©ã\82°
.B --sport
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊØÍø¤ÊÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの便利な別名である。
.TP
.BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]"
.\"O Destination port or port range specification. The flag
.\"O .B --dport
.\"O is a convenient alias for this option.
-Á÷¿®Àè¥Ý¡¼¥È¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈϰϤλØÄê¡£
-¥Õ¥é¥°
+送信先ポートまたはポート範囲の指定。
+ã\83\95ã\83©ã\82°
.B --dport
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊØÍø¤ÊÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの便利な別名である。
.TP
.BR "--tcp-flags " "[!] \fImask\fP \fIcomp\fP"
.\"O Match when the TCP flags are as specified. The first argument is the
.\"O the second argument is a comma-separated list of flags which must be
.\"O set. Flags are:
.\"O .BR "SYN ACK FIN RST URG PSH ALL NONE" .
-»ØÄꤵ¤ì¤Æ¤¤¤ë¤è¤¦¤Ê TCP ¥Õ¥é¥°¤Î¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-Âè 1 °ú¤¿ô¤Ïɾ²Á¤µ¤ì¤ë¥Õ¥é¥°¤Ç¡¢¥³¥ó¥Þ¤Çʬ¤±¤é¤ì¤¿¥ê¥¹¥È¤Ç½ñ¤«¤ì¤ë¡£
-Âè 2 °ú¤¿ô¤ÏÀßÄꤵ¤ì¤Æ¤¤¤Ê¤±¤ì¤Ð¤Ê¤é¤Ê¤¤¥Õ¥é¥°¤Ç¡¢
-¥³¥ó¥Þ¤Çʬ¤±¤é¤ì¤¿¥ê¥¹¥È¤Ç½ñ¤«¤ì¤ë¡£
-»ØÄê¤Ç¤¤ë¥Õ¥é¥°¤Ï
+指定されているような TCP フラグの場合にマッチする。
+第 1 引き数は評価されるフラグで、コンマで分けられたリストで書かれる。
+第 2 引き数は設定されていなければならないフラグで、
+コンマで分けられたリストで書かれる。
+指定できるフラグは
.B "SYN ACK FIN RST URG PSH ALL NONE"
-¤Ç¤¢¤ë¡£
+である。
.\"O Hence the command
.\"O .nf
.\"O ip6tables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
.\"O .fi
.\"O will only match packets with the SYN flag set, and the ACK, FIN and
.\"O RST flags unset.
-¤è¤Ã¤Æ¡¢¥³¥Þ¥ó¥É
+よって、コマンド
.nf
ip6tables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
.fi
-¤Ï¡¢SYN ¥Õ¥é¥°¤¬ÀßÄꤵ¤ì ACK, FIN, RST ¥Õ¥é¥°¤¬ÀßÄꤵ¤ì¤Æ¤¤¤Ê¤¤
-¥Ñ¥±¥Ã¥È¤Ë¤Î¤ß¥Þ¥Ã¥Á¤¹¤ë¡£
+は、SYN フラグが設定され ACK, FIN, RST フラグが設定されていない
+パケットにのみマッチする。
.TP
.B "[!] --syn"
.\"O Only match TCP packets with the SYN bit set and the ACK and RST bits
.\"O It is equivalent to \fB--tcp-flags SYN,RST,ACK SYN\fP.
.\"O If the "!" flag precedes the "--syn", the sense of the
.\"O option is inverted.
-SYN ¥Ó¥Ã¥È¤¬ÀßÄꤵ¤ì ACK ¤È RST ¥Ó¥Ã¥È¤¬¥¯¥ê¥¢¤µ¤ì¤Æ¤¤¤ë
-TCP ¥Ñ¥±¥Ã¥È¤Ë¤Î¤ß¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¤è¤¦¤Ê¥Ñ¥±¥Ã¥È¤Ï TCP Àܳ¤Î³«»ÏÍ×µá¤Ë»È¤ï¤ì¤ë¡£
-Î㤨¤Ð¡¢¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ËÆþ¤Ã¤Æ¤¯¤ë¤³¤Î¤è¤¦¤Ê¥Ñ¥±¥Ã¥È¤ò¥Ö¥í¥Ã¥¯¤¹¤ì¤Ð¡¢
-Æ⦤ؤΠTCP Àܳ¤Ï¶Ø»ß¤µ¤ì¤ë¤¬¡¢³°Â¦¤Ø¤Î TCP Àܳ¤Ë¤Ï±Æ¶Á¤·¤Ê¤¤¡£
-¤³¤ì¤Ï \fB--tcp-flags SYN,RST,ACK SYN\fP ¤ÈÅù¤·¤¤¡£
-"--syn" ¤ÎÁ°¤Ë "!" ¥Õ¥é¥°¤òÃÖ¤¯¤È¡¢
-SYN ¥Ó¥Ã¥È¤¬¥¯¥ê¥¢¤µ¤ì ACK ¤È FIN ¥Ó¥Ã¥È¤¬ÀßÄꤵ¤ì¤Æ¤¤¤ë
-TCP ¥Ñ¥±¥Ã¥È¤Ë¤Î¤ß¥Þ¥Ã¥Á¤¹¤ë¡£
+SYN ビットが設定され ACK と RST ビットがクリアされている
+TCP パケットにのみマッチする。
+このようなパケットは TCP 接続の開始要求に使われる。
+例えば、インターフェースに入ってくるこのようなパケットをブロックすれば、
+内側への TCP 接続は禁止されるが、外側への TCP 接続には影響しない。
+これは \fB--tcp-flags SYN,RST,ACK SYN\fP と等しい。
+"--syn" の前に "!" フラグを置くと、
+SYN ビットがクリアされ ACK と FIN ビットが設定されている
+TCP パケットにのみマッチする。
.TP
.BR "--tcp-option " "[!] \fInumber\fP"
.\"O Match if TCP option set.
-TCP ¥ª¥×¥·¥ç¥ó¤¬ÀßÄꤵ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+TCP オプションが設定されている場合にマッチする。
.SS udp
.\"O These extensions are loaded if `--protocol udp' is specified. It
.\"O provides the following options:
-¤³¤ì¤é¤Î³ÈÄ¥¤Ï `--protocol udp' ¤¬»ØÄꤵ¤ì¤¿¾ì¹ç¤Ë¥í¡¼¥É¤µ¤ì¡¢
-°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤¬Ä󶡤µ¤ì¤ë:
+これらの拡張は `--protocol udp' が指定された場合にロードされ、
+以下のオプションが提供される:
.TP
.BR "--source-port " "[!] \fIport\fP[:\fIport\fP]"
.\"O Source port or port range specification.
.\"O See the description of the
.\"O .B --source-port
.\"O option of the TCP extension for details.
-Á÷¿®¸µ¥Ý¡¼¥È¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈϰϤλØÄê¡£
-¾ÜºÙ¤Ï TCP ³ÈÄ¥¤Î
+送信元ポートまたはポート範囲の指定。
+詳細は TCP 拡張の
.B --source-port
-¥ª¥×¥·¥ç¥ó¤ÎÀâÌÀ¤ò»²¾È¤¹¤ë¤³¤È¡£
+オプションの説明を参照すること。
.TP
.BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]"
.\"O Destination port or port range specification.
.\"O See the description of the
.\"O .B --destination-port
.\"O option of the TCP extension for details.
-Á÷¿®Àè¥Ý¡¼¥È¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈϰϤλØÄê¡£
-¾ÜºÙ¤Ï TCP ³ÈÄ¥¤Î
+送信先ポートまたはポート範囲の指定。
+詳細は TCP 拡張の
.B --destination-port
-¥ª¥×¥·¥ç¥ó¤ÎÀâÌÀ¤ò»²¾È¤¹¤ë¤³¤È¡£
+オプションの説明を参照すること。
.SS ipv6-icmp
.\"O This extension is loaded if `--protocol ipv6-icmp' or `--protocol icmpv6' is
.\"O specified. It provides the following option:
-¤³¤ì¤é¤Î³ÈÄ¥¤Ï `--protocol ipv6-icmp'
-¤Þ¤¿¤Ï `--protocol icmpv6' ¤¬»ØÄꤵ¤ì¤¿¾ì¹ç¤Ë¥í¡¼¥É¤µ¤ì¡¢
-°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤¬Ä󶡤µ¤ì¤ë:
+これらの拡張は `--protocol ipv6-icmp'
+または `--protocol icmpv6' が指定された場合にロードされ、
+以下のオプションが提供される:
.TP
.BR "--icmpv6-type " "[!] \fItypename\fP"
.\"O This allows specification of the ICMP type, which can be a numeric
.\"O IPv6-ICMP type, or one of the IPv6-ICMP type names shown by the command
-¿ôÃͤΠIPv6-ICMP ¥¿¥¤¥×¡¢¤Þ¤¿¤Ï¥³¥Þ¥ó¥É
+数値の IPv6-ICMP タイプ、またはコマンド
.nf
ip6tables -p ipv6-icmp -h
.fi
-¤Çɽ¼¨¤µ¤ì¤ë IPv6-ICMP ¥¿¥¤¥×̾¤ò»ØÄê¤Ç¤¤ë¡£
+で表示される IPv6-ICMP タイプ名を指定できる。
.SS mac
.TP
.BR "--mac-source " "[!] \fIaddress\fP"
.\"O or
.\"O .B INPUT
.\"O chains.
-Á÷¿®¸µ MAC ¥¢¥É¥ì¥¹¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+送信元 MAC アドレスにマッチする。
.I address
-¤Ï XX:XX:XX:XX:XX:XX ¤È¤¤¤¦·Á¼°¤Ç¤Ê¤±¤ì¤Ð¤Ê¤é¤Ê¤¤¡£
-¥¤¡¼¥µ¡¼¥Í¥Ã¥È¥Ç¥Ð¥¤¥¹¤«¤éÆþ¤Ã¤Æ¤¯¤ë¥Ñ¥±¥Ã¥È¤Ç¡¢
+は XX:XX:XX:XX:XX:XX という形式でなければならない。
+イーサーネットデバイスから入ってくるパケットで、
.BR PREROUTING ,
.BR FORWARD ,
.B INPUT
-¥Á¥§¥¤¥ó¤ËÆþ¤ë¥Ñ¥±¥Ã¥È¤Ë¤·¤«°ÕÌ£¤¬¤Ê¤¤ÅÀ¤ËÃí°Õ¤¹¤ë¤³¤È¡£
+チェインに入るパケットにしか意味がない点に注意すること。
.SS limit
.\"O This module matches at a limited rate using a token bucket filter.
.\"O A rule using this extension will match until this limit is reached
.\"O (unless the `!' flag is used). It can be used in combination with the
.\"O .B LOG
.\"O target to give limited logging, for example.
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢¥È¡¼¥¯¥ó¥Ð¥±¥Ä¥Õ¥£¥ë¥¿¤ò»È¤¤¡¢
-ñ°Ì»þ´Ö¤¢¤¿¤êÀ©¸Â¤µ¤ì¤¿²ó¿ô¤À¤±¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î³ÈÄ¥¤ò»È¤Ã¤¿¥ë¡¼¥ë¤Ï¡¢(`!' ¥Õ¥é¥°¤¬»ØÄꤵ¤ì¤Ê¤¤¸Â¤ê)
-À©¸Â¤Ë㤹¤ë¤Þ¤Ç¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢¥í¥°µÏ¿¤òÀ©¸Â¤¹¤ë
+このモジュールは、トークンバケツフィルタを使い、
+単位時間あたり制限された回数だけマッチする。
+この拡張を使ったルールは、(`!' フラグが指定されない限り)
+制限に達するまでマッチする。
+このモジュールは、ログ記録を制限する
.B LOG
-¥¿¡¼¥²¥Ã¥È¤ÈÁȤ߹ç¤ï¤»¤Æ»È¤¦¤³¤È¤¬¤Ç¤¤ë¡£
-¤¿¤È¤¨¤Ð¡¢
+ターゲットと組み合わせて使うことができる。
+たとえば、
.TP
.BI "--limit " "rate"
.\"O Maximum average matching rate: specified as a number, with an optional
.\"O `/second', `/minute', `/hour', or `/day' suffix; the default is
.\"O 3/hour.
-ñ°Ì»þ´Ö¤¢¤¿¤ê¤ÎÊ¿¶Ñ¥Þ¥Ã¥Á²ó¿ô¤ÎºÇÂçÃÍ¡£
-¿ôÃͤǻØÄꤵ¤ì¡¢Åº»ú `/second', `/minute',
-`/hour', `/day' ¤òÉÕ¤±¤ë¤³¤È¤â¤Ç¤¤ë¡£
-¥Ç¥Õ¥©¥ë¥È¤Ï 3/hour ¤Ç¤¢¤ë¡£
+単位時間あたりの平均マッチ回数の最大値。
+数値で指定され、添字 `/second', `/minute',
+`/hour', `/day' を付けることもできる。
+デフォルトは 3/hour である。
.TP
.BI "--limit-burst " "number"
.\"O Maximum initial number of packets to match: this number gets
.\"O recharged by one every time the limit specified above is not reached,
.\"O up to this number; the default is 5.
-¥Ñ¥±¥Ã¥È¤¬¥Þ¥Ã¥Á¤¹¤ë²ó¿ô¤ÎºÇÂç½é´üÃÍ:
-¾å¤Î¥ª¥×¥·¥ç¥ó¤Ç»ØÄꤷ¤¿À©¸Â¤Ë㤷¤Ê¤±¤ì¤Ð¡¢
-¤½¤ÎÅÙ¤´¤È¤Ë¡¢¤³¤Î¿ôÃͤˤʤë¤Þ¤Ç 1 ¸Ä¤º¤ÄÁý¤ä¤µ¤ì¤ë¡£
-¥Ç¥Õ¥©¥ë¥È¤Ï 5 ¤Ç¤¢¤ë¡£
+パケットがマッチする回数の最大初期値:
+上のオプションで指定した制限に達しなければ、
+その度ごとに、この数値になるまで 1 個ずつ増やされる。
+デフォルトは 5 である。
.SS multiport
.\"O This module matches a set of source or destination ports. Up to 15
.\"O ports can be specified. It can only be used in conjunction with
.\"O .B "-p tcp"
.\"O or
.\"O .BR "-p udp" .
-¤³¤Î¥â¥¸¥å¡¼¥ë¤ÏÁ÷¿®¸µ¤äÁ÷¿®Àè¤Î¥Ý¡¼¥È¤Î½¸¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¥Ý¡¼¥È¤Ï 15 ¸Ä¤Þ¤Ç»ØÄê¤Ç¤¤ë¡£
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï
+このモジュールは送信元や送信先のポートの集合にマッチする。
+ポートは 15 個まで指定できる。
+このモジュールは
.B "-p tcp"
-¤Þ¤¿¤Ï
+または
.B "-p udp"
-¤ÈÁȤ߹ç¤ï¤»¤Æ»È¤¦¤³¤È¤·¤«¤Ç¤¤Ê¤¤¡£
+と組み合わせて使うことしかできない。
.TP
.BR "--source-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
.\"O Match if the source port is one of the given ports. The flag
.\"O .B --sports
.\"O is a convenient alias for this option.
-Á÷¿®¸µ¥Ý¡¼¥È¤¬»ØÄꤵ¤ì¤¿¥Ý¡¼¥È¤Î¤¦¤Á¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ì¤Ð¥Þ¥Ã¥Á¤¹¤ë¡£
-¥Õ¥é¥°
+送信元ポートが指定されたポートのうちのいずれかであればマッチする。
+ã\83\95ã\83©ã\82°
.B --sports
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊØÍø¤ÊÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの便利な別名である。
.TP
.BR "--destination-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
.\"O Match if the destination port is one of the given ports. The flag
.\"O .B --dports
.\"O is a convenient alias for this option.
-Á÷¿®Àè¥Ý¡¼¥È¤¬»ØÄꤵ¤ì¤¿¥Ý¡¼¥È¤Î¤¦¤Á¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ì¤Ð¥Þ¥Ã¥Á¤¹¤ë¡£
-¥Õ¥é¥°
+送信先ポートが指定されたポートのうちのいずれかであればマッチする。
+ã\83\95ã\83©ã\82°
.B --dports
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊØÍø¤ÊÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの便利な別名である。
.TP
.BR "--ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
.\"O Match if the both the source and destination ports are equal to each
.\"O other and to one of the given ports.
-Á÷¿®¸µ¤ÈÁ÷¿®Àè¥Ý¡¼¥È¤ÎξÊý¤¬¸ß¤¤¤ËÅù¤·¤¤¤«¡¢
-»ØÄꤵ¤ì¤¿¥Ý¡¼¥È¤Î¤¦¤Á¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ì¤Ð¥Þ¥Ã¥Á¤¹¤ë¡£
+送信元と送信先ポートの両方が互いに等しいか、
+指定されたポートのうちのいずれかであればマッチする。
.SS mark
.\"O This module matches the netfilter mark field associated with a packet
.\"O (which can be set using the
.\"O .B MARK
.\"O target below).
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¥Ñ¥±¥Ã¥È¤Ë´ØÏ¢¤Å¤±¤é¤ì¤¿
-netfilter ¤Î mark ¥Õ¥£¡¼¥ë¥É¤Ë¥Þ¥Ã¥Á¤¹¤ë
-(¤³¤Î¥Õ¥£¡¼¥ë¥É¤Ï¡¢°Ê²¼¤Î
+このモジュールはパケットに関連づけられた
+netfilter の mark フィールドにマッチする
+(このフィールドは、以下の
.B MARK
-¥¿¡¼¥²¥Ã¥È¤ÇÀßÄꤵ¤ì¤ë)¡£
+ターゲットで設定される)。
.TP
.BR "--mark " "\fIvalue\fP[/\fImask\fP]"
.\"O Matches packets with the given unsigned mark value (if a mask is
.\"O specified, this is logically ANDed with the mask before the
.\"O comparison).
-»ØÄꤵ¤ì¤¿Éä¹æ¤Ê¤· mark ÃͤΥѥ±¥Ã¥È¤Ë¥Þ¥Ã¥Á¤¹¤ë
-(mask ¤¬»ØÄꤵ¤ì¤ë¤È¡¢Èæ³Ó¤ÎÁ°¤Ë mask ¤È¤ÎÏÀÍýÀÑ (AND) ¤¬¤È¤é¤ì¤ë)¡£
+指定された符号なし mark 値のパケットにマッチする
+(mask が指定されると、比較の前に mask との論理積 (AND) がとられる)。
.SS owner
.\"O This module attempts to match various characteristics of the packet
.\"O creator, for locally-generated packets. It is only valid in the
.\"O .B OUTPUT
.\"O chain, and even this some packets (such as ICMP ping responses) may
.\"O have no owner, and hence never match. This is regarded as experimental.
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢¥í¡¼¥«¥ë¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤ËÉÕ¤¤¤Æ¡¢
-¥Ñ¥±¥Ã¥ÈÀ¸À®¼Ô¤Î¤¤¤í¤¤¤í¤ÊÆÃÀ¤È¤Î¥Þ¥Ã¥Á¥ó¥°¤ò¤È¤ë¡£
-¤³¤ì¤Ï
+このモジュールは、ローカルで生成されたパケットに付いて、
+パケット生成者のいろいろな特性とのマッチングをとる。
+これは
.B OUTPUT
-¥Á¥§¥¤¥ó¤Î¤ß¤Ç¤·¤«Í¸ú¤Ç¤Ê¤¤¡£
-¤Þ¤¿¡¢(ICMP ping ±þÅú¤Î¤è¤¦¤Ê) ¥Ñ¥±¥Ã¥È¤Ï¡¢
-½êͼԤ¬¤¤¤Ê¤¤¤Î¤ÇÀäÂФ˥ޥåÁ¤·¤Ê¤¤¡£
-¤³¤ì¤Ï¼Â¸³Åª¤Ê¤â¤Î¤È¤¤¤¦°·¤¤¤Ç¤¢¤ë¡£
+チェインのみでしか有効でない。
+また、(ICMP ping 応答のような) パケットは、
+所有者がいないので絶対にマッチしない。
+これは実験的なものという扱いである。
.TP
.BI "--uid-owner " "userid"
.\"O Matches if the packet was created by a process with the given
.\"O effective user id.
-»ØÄꤵ¤ì¤¿¼Â¸ú¥æ¡¼¥¶¡¼ ID ¤Î¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定された実効ユーザー ID のプロセスにより
+パケットが生成されている場合にマッチする。
.TP
.BI "--gid-owner " "groupid"
.\"O Matches if the packet was created by a process with the given
.\"O effective group id.
-»ØÄꤵ¤ì¤¿¼Â¸ú¥°¥ë¡¼¥× ID ¤Î¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定された実効グループ ID のプロセスにより
+パケットが生成されている場合にマッチする。
.TP
.BI "--pid-owner " "processid"
.\"O Matches if the packet was created by a process with the given
.\"O process id.
-»ØÄꤵ¤ì¤¿¥×¥í¥»¥¹ ID ¤Î¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定されたプロセス ID のプロセスにより
+パケットが生成されている場合にマッチする。
.TP
.BI "--sid-owner " "sessionid"
.\"O Matches if the packet was created by a process in the given session
.\"O group.
-»ØÄꤵ¤ì¤¿¥»¥Ã¥·¥ç¥ó¥°¥ë¡¼¥×¤Î¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定されたセッショングループのプロセスにより
+パケットが生成されている場合にマッチする。
.\" .SS state
.\"O .\" This module, when combined with connection tracking, allows access to
.\"O .\" the connection tracking state for this packet.
-.\" ¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢ÀܳÄÉÀ× (connection tracking) ¤ÈÁȤ߹ç¤ï¤»¤ÆÍѤ¤¤ë¤È¡¢
-.\" ¥Ñ¥±¥Ã¥È¤Ë¤Ä¤¤¤Æ¤ÎÀܳÄÉÀ×¾õÂÖ¤òÃΤ뤳¤È¤¬¤Ç¤¤ë¡£
+.\" このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、
+.\" パケットについての接続追跡状態を知ることができる。
.\" .TP
.\" .BI "--state " "state"
.\"O .\" Where state is a comma separated list of the connection states to
.\"O .\" .B ESTABLISHED
.\"O .\" meaning that the packet is associated with a connection which has seen
.\"O .\" packets in both directions,
-.\" state ¤Ï¡¢¥Þ¥Ã¥Á¥ó¥°¤ò¹Ô¤¦¤¿¤á¤Î¡¢¥³¥ó¥Þ¤Ç¶èÀÚ¤é¤ì¤¿Àܳ¾õÂ֤Υꥹ¥È¤Ç¤¢¤ë¡£
-.\" »ØÄê²Äǽ¤Ê state ¤Ï°Ê²¼¤ÎÄ̤ꡣ
+.\" state は、マッチングを行うための、コンマで区切られた接続状態のリストである。
+.\" 指定可能な state は以下の通り。
.\" .BR INVALID :
-.\" ¤³¤Î¥Ñ¥±¥Ã¥È¤Ï´ûÃΤÎÀܳ¤È´Ø·¸¤·¤Æ¤¤¤Ê¤¤¡£
+.\" このパケットは既知の接続と関係していない。
.\" .BR ESTABLISHED :
-.\" ¤³¤Î¥Ñ¥±¥Ã¥È¤ÏÁÐÊý¸þÀܳ¤Î¥Ñ¥±¥Ã¥È¤ÈȽÌÀ¤·¤¿¡£
+.\" このパケットは双方向接続のパケットと判明した。
.\"O .\" .B NEW
.\"O .\" meaning that the packet has started a new connection, or otherwise
.\"O .\" associated with a connection which has not seen packets in both
.\"O .\" directions, and
.\" .BR NEW :
-.\" ¤³¤Î¥Ñ¥±¥Ã¥È¤¬¿·¤·¤¤Àܳ¤ò³«»Ï¤·¤¿¤«¡¢
-.\" ÁÐÊý¸þÀܳ¤Î¥Ñ¥±¥Ã¥È¤Ç¤Ê¤¤¤â¤Î¤ÈȽÌÀ¤·¤¿¡£
+.\" このパケットが新しい接続を開始したか、
+.\" 双方向接続のパケットでないものと判明した。
.\"O .\" .B RELATED
.\"O .\" meaning that the packet is starting a new connection, but is
.\"O .\" associated with an existing connection, such as an FTP data transfer,
.\"O .\" or an ICMP error.
.\" .BR RELATED :
-.\" ¤³¤Î¥Ñ¥±¥Ã¥È¤¬¿·¤·¤¤Àܳ¤ò³«»Ï¤·¤Æ¤¤¤ë¤¬¡¢
-.\" FTP ¥Ç¡¼¥¿Å¾Á÷¤ä ICMP ¥¨¥é¡¼¤Î¤è¤¦¤Ë¡¢´û¸¤ÎÀܳ¤Ë´Ø·¸¤·¤Æ¤¤¤ë¡£
+.\" このパケットが新しい接続を開始しているが、
+.\" FTP データ転送や ICMP エラーのように、既存の接続に関係している。
.\" .SS unclean
.\"O .\" This module takes no options, but attempts to match packets which seem
.\"O .\" malformed or unusual. This is regarded as experimental.
-.\" ¤³¤Î¥â¥¸¥å¡¼¥ë¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬¤Ê¤¤¤¬¡¢
-.\" ¤ª¤«¤·¤¯Àµ¾ï¤Ç¤Ê¤¤¤è¤¦¤Ë¸«¤¨¤ë¥Ñ¥±¥Ã¥È¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-.\" ¤³¤ì¤Ï¼Â¸³Åª¤Ê¤â¤Î¤È¤·¤Æ°·¤ï¤ì¤Æ¤¤¤ë¡£
+.\" このモジュールにはオプションがないが、
+.\" おかしく正常でないように見えるパケットにマッチする。
+.\" これは実験的なものとして扱われている。
.\" .SS tos
.\"O .\" This module matches the 8 bits of Type of Service field in the IP
.\"O .\" header (ie. including the precedence bits).
-.\" ¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï IP ¥Ø¥Ã¥À¡¼¤Î (¾å°Ì¥Ó¥Ã¥È¤ò´Þ¤à) 8 ¥Ó¥Ã¥È¤Î
-.\" Type of Service ¥Õ¥£¡¼¥ë¥É¤Ë¥Þ¥Ã¥Á¤¹¤ë
+.\" このモジュールは IP ヘッダーの (上位ビットを含む) 8 ビットの
+.\" Type of Service フィールドにマッチする
.\" .TP
.\" .BI "--tos " "tos"
.\"O .\" The argument is either a standard name, (use
.\"O .\" iptables -m tos -h
.\"O .\" .br
.\"O .\" to see the list), or a numeric value to match.
-.\" °ú¤¿ô¤Ï¡¢¥Þ¥Ã¥Á¤ò¹Ô¤¦É¸½àŪ¤Ê̾Á°¤Ç¤â¿ôÃͤǤâ¤è¤¤
-.\" (̾Á°¤Î¥ê¥¹¥È¤ò¸«¤ë¤Ë¤Ï
+.\" 引き数は、マッチを行う標準的な名前でも数値でもよい
+.\" (名前のリストを見るには
.\" .br
.\" iptables -m tos -h
.\" .br
-.\" ¤ò»È¤¦¤³¤È)¡£
+.\" を使うこと)。
.\"O .SH TARGET EXTENSIONS
-.SH ¥¿¡¼¥²¥Ã¥È¤Î³ÈÄ¥
+.SH ターゲットの拡張
.\"O iptables can use extended target modules: the following are included
.\"O in the standard distribution.
-iptables ¤Ï³ÈÄ¥¥¿¡¼¥²¥Ã¥È¥â¥¸¥å¡¼¥ë¤ò»È¤¦¤³¤È¤¬¤Ç¤¤ë:
-°Ê²¼¤Î¤â¤Î¤¬¡¢É¸½àŪ¤Ê¥Ç¥£¥¹¥È¥ê¥Ó¥å¡¼¥·¥ç¥ó¤Ë´Þ¤Þ¤ì¤Æ¤¤¤ë¡£
+iptables は拡張ターゲットモジュールを使うことができる:
+以下のものが、標準的なディストリビューションに含まれている。
.SS LOG
.\"O Turn on kernel logging of matching packets. When this option is set
.\"O for a rule, the Linux kernel will print some information on all
.\"O .I dmesg
.\"O or
.\"O .IR syslogd (8)).
-¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤ò¥«¡¼¥Í¥ë¥í¥°¤ËµÏ¿¤¹¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¥ë¡¼¥ë¤ËÂФ·¤ÆÀßÄꤵ¤ì¤ë¤È¡¢
-Linux ¥«¡¼¥Í¥ë¤Ï¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤Ë¤Ä¤¤¤Æ¤Î
-(IPv6 ¤Ë¤ª¤±¤ëÂçÉôʬ¤Î IPv6 ¥Ø¥Ã¥À¥Õ¥£¡¼¥ë¥É¤Î¤è¤¦¤Ê) ²¿¤é¤«¤Î¾ðÊó¤ò
-¥«¡¼¥Í¥ë¥í¥°¤Ëɽ¼¨¤¹¤ë
-(¥«¡¼¥Í¥ë¥í¥°¤Ï
+マッチしたパケットをカーネルログに記録する。
+このオプションがルールに対して設定されると、
+Linux カーネルはマッチしたパケットについての
+(IPv6 における大部分の IPv6 ヘッダフィールドのような) 何らかの情報を
+カーネルログに表示する
+(カーネルログは
.I dmesg
-¤Þ¤¿¤Ï
+または
.IR syslogd (8)
-¤Ç¸«¤ë¤³¤È¤¬¤Ç¤¤ë)¡£
+で見ることができる)。
.\"O This is a "non-terminating target", i.e. rule traversal continues at
.\"O the next rule. So if you want to LOG the packets you refuse, use two
.\"O separate rules with the same matching criteria, first using target LOG
.\"O then DROP (or REJECT).
-¤³¤ì¤Ï¡ÖÈó½ªÎ»¥¿ ¡¼¥²¥Ã¥È¡×¤Ç¤¢¤ë¡£
-¤¹¤Ê¤ï¤Á¡¢¥ë¡¼¥ë¤Î¸¡Æ¤¤Ï¡¢¼¡¤Î¥ë¡¼¥ë¤Ø¤È·Ñ³¤µ¤ì¤ë¡£
-¤è¤Ã¤Æ¡¢µñÈݤ¹¤ë¥Ñ¥±¥Ã¥È¤ò¥í¥°µÏ¿¤·¤¿¤±¤ì¤Ð¡¢
-Ʊ¤¸¥Þ¥Ã¥Á¥ó¥°È½ÃÇ´ð½à¤ò»ý¤Ä 2 ¤Ä¤Î¥ë¡¼¥ë¤ò»ÈÍѤ·¡¢
-ºÇ½é¤Î¥ë¡¼¥ë¤Ç LOG ¥¿¡¼¥²¥Ã¥È¤ò¡¢
-¼¡¤Î¥ë¡¼¥ë¤Ç DROP (¤Þ¤¿¤Ï REJECT) ¥¿¡¼¥²¥Ã¥È¤ò»ØÄꤹ¤ë¡£
+これは「非終了タ ーゲット」である。
+すなわち、ルールの検討は、次のルールへと継続される。
+よって、拒否するパケットをログ記録したければ、
+同じマッチング判断基準を持つ 2 つのルールを使用し、
+最初のルールで LOG ターゲットを、
+次のルールで DROP (または REJECT) ターゲットを指定する。
.TP
.BI "--log-level " "level"
.\"O Level of logging (numeric or see \fIsyslog.conf\fP(5)).
-¥í¥°µÏ¿¤Î¥ì¥Ù¥ë (¿ôÃͤǻØÄꤹ¤ë¤«¡¢
-(ÌõÃð: ̾Á°¤Ç»ØÄꤹ¤ë¾ì¹ç¤Ï) \fIsyslog.conf\fP(5) ¤ò»²¾È¤¹¤ë¤³¤È)¡£
+ログ記録のレベル (数値で指定するか、
+(訳註: 名前で指定する場合は) \fIsyslog.conf\fP(5) を参照すること)。
.TP
.BI "--log-prefix " "prefix"
.\"O Prefix log messages with the specified prefix; up to 29 letters long,
.\"O and useful for distinguishing messages in the logs.
-»ØÄꤷ¤¿¥×¥ì¥Õ¥£¥Ã¥¯¥¹¤ò¥í¥°¥á¥Ã¥»¡¼¥¸¤ÎÁ°¤ËÉÕ¤±¤ë¡£
-¥×¥ì¥Õ¥£¥Ã¥¯¥¹¤Ï 29 ʸ»ú¤Þ¤Ç¤ÎŤµ¤Ç¡¢
-¥í¥°¤Î¤Ê¤«¤Ç¥á¥Ã¥»¡¼¥¸¤ò¶èÊ̤¹¤ë¤Î¤ËÌòΩ¤Ä¡£
+指定したプレフィックスをログメッセージの前に付ける。
+プレフィックスは 29 文字までの長さで、
+ログのなかでメッセージを区別するのに役立つ。
.TP
.B --log-tcp-sequence
.\"O Log TCP sequence numbers. This is a security risk if the log is
.\"O readable by users.
-TCP ¥·¡¼¥±¥ó¥¹ÈÖ¹æ¤ò¥í¥°¤ËµÏ¿¤¹¤ë¡£
-¥í¥°¤¬¥æ¡¼¥¶¡¼¤«¤éÆɤá¤ë¾ì¹ç¡¢¥»¥¥å¥ê¥Æ¥£¾å¤Î´í¸±¤¬¤¢¤ë¡£
+TCP シーケンス番号をログに記録する。
+ログがユーザーから読める場合、セキュリティ上の危険がある。
.TP
.B --log-tcp-options
.\"O Log options from the TCP packet header.
-TCP ¥Ñ¥±¥Ã¥È¥Ø¥Ã¥À¤Î¥ª¥×¥·¥ç¥ó¤ò¥í¥°¤ËµÏ¿¤¹¤ë¡£
+TCP パケットヘッダのオプションをログに記録する。
.TP
.B --log-ip-options
.\"O Log options from the IPv6 packet header.
-IPv6 ¥Ñ¥±¥Ã¥È¥Ø¥Ã¥À¤Î¥ª¥×¥·¥ç¥ó¤ò¥í¥°¤ËµÏ¿¤¹¤ë¡£
+IPv6 パケットヘッダのオプションをログに記録する。
.SS MARK
.\"O This is used to set the netfilter mark value associated with the
.\"O packet. It is only valid in the
.\"O .B mangle
.\"O table.
-¥Ñ¥±¥Ã¥È¤Ë´ØÏ¢¤Å¤±¤é¤ì¤¿ netfilter ¤Î mark Ãͤò»ØÄꤹ¤ë¡£
+パケットに関連づけられた netfilter の mark 値を指定する。
.B mangle
-¥Æ¡¼¥Ö¥ë¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
+テーブルのみで有効である。
.TP
.BI "--set-mark " "mark"
.SS REJECT
.\"O packet: otherwise it is equivalent to
.\"O .B DROP
.\"O so it is a terminating TARGET, ending rule traversal.
-¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤Î±þÅú¤È¤·¤Æ¥¨¥é¡¼¥Ñ¥±¥Ã¥È¤òÁ÷¿®¤¹¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
-¥¨¥é¡¼¥Ñ¥±¥Ã¥È¤òÁ÷¤é¤Ê¤±¤ì¤Ð¡¢
+マッチしたパケットの応答としてエラーパケットを送信するために使われる。
+エラーパケットを送らなければ、
.B DROP
-¤ÈƱ¤¸¤Ç¤¢¤ê¡¢
-TARGET ¤ò½ªÎ»¤·¡¢¥ë¡¼¥ë¤Î¸¡Æ¤¤ò½ªÎ»¤¹¤ë¡£
+と同じであり、
+TARGET を終了し、ルールの検討を終了する。
.\"O This target is only valid in the
.\"O .BR INPUT ,
.\"O .B FORWARD
.\"O chains, and user-defined chains which are only called from those
.\"O chains. The following option controls the nature of the error packet
.\"O returned:
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¡¢
+このターゲットは、
.BR INPUT ,
.BR FORWARD ,
.B OUTPUT
-¥Á¥§¥¤¥ó¤È¡¢¤³¤ì¤é¤Î¥Á¥§¥¤¥ó¤«¤é¸Æ¤Ð¤ì¤ë
-¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤À¤±¤Ç͸ú¤Ç¤¢¤ë¡£
-°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢ÊÖ¤µ¤ì¤ë¥¨¥é¡¼¥Ñ¥±¥Ã¥È¤ÎÆÃÀ¤òÀ©¸æ¤¹¤ë¡£
+チェインと、これらのチェインから呼ばれる
+ユーザー定義チェインだけで有効である。
+以下のオプションは、返されるエラーパケットの特性を制御する。
.TP
.BI "--reject-with " "type"
.\"O The type given can be
-type ¤È¤·¤Æ»ØÄê²Äǽ¤Ê¤â¤Î¤Ï
+type として指定可能なものは
.nf
.B " icmp6-no-route"
.B " no-route"
.fi
.\"O which return the appropriate IPv6-ICMP error message (\fBport-unreach\fP is
.\"O the default).
-¤Ç¤¢¤ê¡¢Å¬ÀÚ¤Ê IPv6-ICMP ¥¨¥é¡¼¥á¥Ã¥»¡¼¥¸¤òÊÖ¤¹
-(\fBport-unreach\fP ¤¬¥Ç¥Õ¥©¥ë¥È¤Ç¤¢¤ë)¡£
+であり、適切な IPv6-ICMP エラーメッセージを返す
+(\fBport-unreach\fP がデフォルトである)。
.\"O Finally, the option
.\"O .B tcp-reset
.\"O can be used on rules which only match the TCP protocol: this causes a
.\"O .I ident
.\"O (113/tcp) probes which frequently occur when sending mail to broken mail
.\"O hosts (which won't accept your mail otherwise).
-¤µ¤é¤Ë¡¢TCP ¥×¥í¥È¥³¥ë¤Ë¤Î¤ß¥Þ¥Ã¥Á¤¹¤ë¥ë¡¼¥ë¤ËÂФ·¤Æ¡¢¥ª¥×¥·¥ç¥ó
+さらに、TCP プロトコルにのみマッチするルールに対して、オプション
.B tcp-reset
-¤ò»È¤¦¤³¤È¤¬¤Ç¤¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤ò»È¤¦¤È¡¢TCP RST ¥Ñ¥±¥Ã¥È¤¬Á÷¤êÊÖ¤µ¤ì¤ë¡£
-¼ç¤È¤·¤Æ
+を使うことができる。
+このオプションを使うと、TCP RST パケットが送り返される。
+主として
.I ident
-(113/tcp) ¤Ë¤è¤ëõºº¤òÁ˻ߤ¹¤ë¤Î¤ËÌòΩ¤Ä¡£
+(113/tcp) による探査を阻止するのに役立つ。
.I ident
-¤Ë¤è¤ëõºº¤Ï¡¢²õ¤ì¤Æ¤¤¤ë (¥á¡¼¥ë¤ò¼õ¤±¼è¤é¤Ê¤¤) ¥á¡¼¥ë¥Û¥¹¥È¤Ë
-¥á¡¼¥ë¤¬Á÷¤é¤ì¤ë¾ì¹ç¤ËÉÑÈˤ˵¯¤³¤ë¡£
+による探査は、壊れている (メールを受け取らない) メールホストに
+メールが送られる場合に頻繁に起こる。
.\" .SS TOS
.\"O .\" This is used to set the 8-bit Type of Service field in the IP header.
.\"O .\" It is only valid in the
.\"O .\" .B mangle
.\"O .\" table.
-.\" IP ¥Ø¥Ã¥À¤Î 8 ¥Ó¥Ã¥È¤Î Type of Service ¥Õ¥£¡¼¥ë¥É¤òÀßÄꤹ¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
+.\" IP ヘッダの 8 ビットの Type of Service フィールドを設定するために使われる。
.\" .B mangle
-.\" ¥Æ¡¼¥Ö¥ë¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
+.\" テーブルのみで有効である。
.\" .TP
.\" .BI "--set-tos " "tos"
.\"O .\" You can use a numeric TOS values, or use
.\"O .\" iptables -j TOS -h
.\"O .\" .br
.\"O .\" to see the list of valid TOS names.
-.\" TOS ¤òÈÖ¹æ¤Ç»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-.\" ¤Þ¤¿¡¢
+.\" TOS を番号で指定することができる。
+.\" また、
.\" .br
.\" iptables -j TOS -h
.\" .br
-.\" ¤ò¼Â¹Ô¤·¤ÆÆÀ¤é¤ì¤ë¡¢»ÈÍѲÄǽ¤Ê TOS ̾¤Î°ìÍ÷¤Ë¤¢¤ë TOS ̾¤â»ØÄê¤Ç¤¤ë¡£
+.\" を実行して得られる、使用可能な TOS 名の一覧にある TOS 名も指定できる。
.\" .SS MIRROR
.\"O .\" This is an experimental demonstration target which inverts the source
.\"O .\" and destination fields in the IP header and retransmits the packet.
-.\" ¼Â¸³Åª¤Ê¥Ç¥â¥ó¥¹¥È¥ì¡¼¥·¥ç¥óÍѤΥ¿¡¼¥²¥Ã¥È¤Ç¤¢¤ê¡¢
-.\" IP ¥Ø¥Ã¥À¤ÎÁ÷¿®¸µ¤ÈÁ÷¿®Àè¥Õ¥£¡¼¥ë¥É¤òÆþ¤ì´¹¤¨¡¢
-.\" ¥Ñ¥±¥Ã¥È¤òºÆÁ÷¿®¤¹¤ë¤â¤Î¤Ç¤¢¤ë¡£
+.\" 実験的なデモンストレーション用のターゲットであり、
+.\" IP ヘッダの送信元と送信先フィールドを入れ換え、
+.\" パケットを再送信するものである。
.\"O .\" It is only valid in the
.\"O .\" .BR INPUT ,
.\"O .\" .B FORWARD
.\"O .\" .B PREROUTING
.\"O .\" chains, and user-defined chains which are only called from those
.\"O .\" chains.
-.\" ¤³¤ì¤Ï
+.\" これは
.\" .BR INPUT ,
.\" .BR FORWARD ,
.\" .B PREROUTING
-.\" ¥Á¥§¥¤¥ó¤È¡¢¤³¤ì¤é¤Î¥Á¥§¥¤¥ó¤«¤é¸Æ¤Ó½Ð¤µ¤ì¤ë
-.\" ¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤À¤±¤Ç͸ú¤Ç¤¢¤ë¡£
+.\" チェインと、これらのチェインから呼び出される
+.\" ユーザー定義チェインだけで有効である。
.\"O .\" Note that the outgoing packets are
.\"O .\" .B NOT
.\"O .\" seen by any packet filtering chains, connection tracking or NAT, to
.\"O .\" avoid loops and other problems.
-.\" ¥ë¡¼¥×Åù¤ÎÌäÂê¤ò²óÈò¤¹¤ë¤¿¤á¡¢³°Éô¤ËÁ÷¤é¤ì¤ë¥Ñ¥±¥Ã¥È¤Ï
-.\" ¤¤¤«¤Ê¤ë¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¥ê¥ó¥°¥Á¥§¥¤¥ó¡¦ÀܳÄÉÀס¦NAT ¤«¤é¤â
-.\" ´Æ»ë\fB¤µ¤ì¤Ê¤¤\fR ¡£
+.\" ループ等の問題を回避するため、外部に送られるパケットは
+.\" いかなるパケットフィルタリングチェイン・接続追跡・NAT からも
+.\" 監視\fBされない\fR 。
.\" .SS SNAT
.\"O .\" This target is only valid in the
.\"O .\" .B nat
.\"O .\" chain. It specifies that the source address of the packet should be
.\"O .\" modified (and all future packets in this connection will also be
.\"O .\" mangled), and rules should cease being examined. It takes one option:
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï
+.\" このターゲットは
.\" .B nat
-.\" ¥Æ¡¼¥Ö¥ë¤È
+.\" テーブルと
.\" .B POSTROUTING
-.\" ¥Á¥§¥¤¥ó¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¥Ñ¥±¥Ã¥È¤ÎÁ÷¿®¸µ¥¢¥É¥ì¥¹¤ò½¤Àµ¤µ¤»¤ë
-.\" (¤³¤ÎÀܳ¤Î°Ê¹ß¤Î¥Ñ¥±¥Ã¥È¤â½¤Àµ¤·¤Æʬ¤«¤é¤Ê¤¯¤¹¤ë (mangle))¡£
-.\" ¤µ¤é¤Ë¡¢¥ë¡¼¥ë¤¬É¾²Á¤òÃæ»ß¤¹¤ë¤è¤¦¤Ë»Ø¼¨¤¹¤ë¡£
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬ 1 ¤Ä¤¢¤ë:
+.\" チェインのみで有効である。
+.\" このターゲットはパケットの送信元アドレスを修正させる
+.\" (この接続の以降のパケットも修正して分からなくする (mangle))。
+.\" さらに、ルールが評価を中止するように指示する。
+.\" このターゲットにはオプションが 1 つある:
.\" .TP
.\" .BR "--to-source " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]"
.\"O .\" which can specify a single new source IP address, an inclusive range
.\"O .\" .B "-p tcp"
.\"O .\" or
.\"O .\" .BR "-p udp" ).
-.\" 1 ¤Ä¤Î¿·¤·¤¤Á÷¿®¸µ IP ¥¢¥É¥ì¥¹¡¢¤Þ¤¿¤Ï IP ¥¢¥É¥ì¥¹¤ÎÈϰϤ¬»ØÄê¤Ç¤¤ë¡£
-.\" ¥ª¥×¥·¥ç¥ó¤È¤·¤Æ¡¢¥Ý¡¼¥È¤ÎÈϰϤ¬»ØÄê¤Ç¤¤ë
-.\" (¥ë¡¼¥ë¤¬
+.\" 1 つの新しい送信元 IP アドレス、または IP アドレスの範囲が指定できる。
+.\" オプションとして、ポートの範囲が指定できる
+.\" (ルールが
.\" .B "-p tcp"
-.\" ¤Þ¤¿¤Ï
+.\" または
.\" .B "-p udp"
-.\" ¤ò»ØÄꤷ¤Æ¤¤¤ë¾ì¹ç¤Ë¤Î¤ß͸ú)¡£
+.\" を指定している場合にのみ有効)。
.\"O .\" If no port range is specified, then source ports below 512 will be
.\"O .\" mapped to other ports below 512: those between 512 and 1023 inclusive
.\"O .\" will be mapped to ports below 1024, and other ports will be mapped to
.\"O .\" 1024 or above. Where possible, no port alteration will occur.
-.\" ¥Ý¡¼¥È¤ÎÈϰϤ¬»ØÄꤵ¤ì¤Æ¤¤¤Ê¤¤¾ì¹ç¡¢
-.\" 512 ̤Ëþ¤ÎÁ÷¿®¸µ¥Ý¡¼¥È¤Ï¡¢Â¾¤Î 512 ̤Ëþ¤Î¥Ý¡¼¥È¤Ë¥Þ¥Ã¥Ô¥ó¥°¤µ¤ì¤ë¡£
-.\" 512 ¡Á 1023 ¤Þ¤Ç¤Î¥Ý¡¼¥È¤Ï¡¢1024 ̤Ëþ¤Î¥Ý¡¼¥È¤Ë¥Þ¥Ã¥Ô¥ó¥°¤µ¤ì¤ë¡£
-.\" ¤½¤ì°Ê³°¤Î¥Ý¡¼¥È¤Ï¡¢1024 °Ê¾å¤Î¥Ý¡¼¥È¤Ë¥Þ¥Ã¥Ô¥ó¥°¤µ¤ì¤ë¡£
-.\" ²Äǽ¤Ç¤¢¤ì¤Ð¡¢¥Ý¡¼¥È¤ÎÊÑ´¹¤Ïµ¯¤³¤é¤Ê¤¤¡£
+.\" ポートの範囲が指定されていない場合、
+.\" 512 未満の送信元ポートは、他の 512 未満のポートにマッピングされる。
+.\" 512 〜 1023 までのポートは、1024 未満のポートにマッピングされる。
+.\" それ以外のポートは、1024 以上のポートにマッピングされる。
+.\" 可能であれば、ポートの変換は起こらない。
.\" .SS DNAT
.\"O .\" This target is only valid in the
.\"O .\" .B nat
.\"O .\" should be modified (and all future packets in this connection will
.\"O .\" also be mangled), and rules should cease being examined. It takes one
.\"O .\" option:
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï
+.\" このターゲットは
.\" .B nat
-.\" ¥Æ¡¼¥Ö¥ë¤È
+.\" テーブルと
.\" .BR PREROUTING ,
.\" .B OUTPUT
-.\" ¥Á¥§¥¤¥ó¡¢¤³¤ì¤é¤Î¥Á¥§¥¤¥ó¤«¤é¸Æ¤Ó½Ð¤µ¤ì¤ë
-.\" ¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¥Ñ¥±¥Ã¥È¤ÎÁ÷¿®À襢¥É¥ì¥¹¤ò½¤Àµ¤¹¤ë
-.\" (¤³¤ÎÀܳ¤Î°Ê¹ß¤Î¥Ñ¥±¥Ã¥È¤â½¤Àµ¤·¤Æʬ¤«¤é¤Ê¤¯¤¹¤ë (mangle))¡£
-.\" ¤µ¤é¤Ë¡¢¥ë¡¼¥ë¤Ë¤è¤ë¥Á¥§¥Ã¥¯¤ò»ß¤á¤µ¤»¤ë¡£
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬ 1 ¤Ä¤¢¤ë:
+.\" チェイン、これらのチェインから呼び出される
+.\" ユーザー定義チェインのみで有効である。
+.\" このターゲットはパケットの送信先アドレスを修正する
+.\" (この接続の以降のパケットも修正して分からなくする (mangle))。
+.\" さらに、ルールによるチェックを止めさせる。
+.\" このターゲットにはオプションが 1 つある:
.\" .TP
.\" .BR "--to-destination " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]"
.\"O .\" which can specify a single new destination IP address, an inclusive
.\"O .\" .BR "-p udp" ).
.\"O .\" If no port range is specified, then the destination port will never be
.\"O .\" modified.
-.\" 1 ¤Ä¤Î¿·¤·¤¤Á÷¿®Àè IP ¥¢¥É¥ì¥¹¡¢¤Þ¤¿¤Ï IP ¥¢¥É¥ì¥¹¤ÎÈϰϤ¬»ØÄê¤Ç¤¤ë¡£
-.\" ¥ª¥×¥·¥ç¥ó¤È¤·¤Æ¡¢¥Ý¡¼¥È¤ÎÈϰϤ¬»ØÄê¤Ç¤¤ë
-.\" (¥ë¡¼¥ë¤¬
+.\" 1 つの新しい送信先 IP アドレス、または IP アドレスの範囲が指定できる。
+.\" オプションとして、ポートの範囲が指定できる
+.\" (ルールが
.\" .B "-p tcp"
-.\" ¤Þ¤¿¤Ï
+.\" または
.\" .B "-p udp"
-.\" ¤ò»ØÄꤷ¤Æ¤¤¤ë¾ì¹ç¤Ë¤Î¤ß͸ú)¡£
-.\" ¥Ý¡¼¥È¤ÎÈϰϤ¬»ØÄꤵ¤ì¤Æ¤¤¤Ê¤¤¾ì¹ç¡¢Á÷¿®À襢¥É¥ì¥¹¤ÏÊѹ¹¤µ¤ì¤Ê¤¤¡£
+.\" を指定している場合にのみ有効)。
+.\" ポートの範囲が指定されていない場合、送信先アドレスは変更されない。
.\" .SS MASQUERADE
.\"O .\" This target is only valid in the
.\"O .\" .B nat
.\"O .\" table, in the
.\"O .\" .B POSTROUTING
.\"O .\" chain.
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï
+.\" このターゲットは
.\" .B nat
-.\" ¥Æ¡¼¥Ö¥ë¡¢¤Þ¤¿¤Ï
+.\" テーブル、または
.\" .B POSTROUTING
-.\" ¥Á¥§¥¤¥ó¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
+.\" チェインのみで有効である。
.\"O .\" It should only be used with dynamically assigned IP (dialup)
.\"O .\" connections: if you have a static IP address, you should use the SNAT
.\"O .\" target.
-.\" ưŪ³ä¤êÅö¤Æ IP (¥À¥¤¥ä¥ë¥¢¥Ã¥×) Àܳ¤Î¾ì¹ç¤Ë¤Î¤ß»È¤¦¤Ù¤¤Ç¤¢¤ë¡£
-.\" ¸ÇÄê IP ¥¢¥É¥ì¥¹¤Ê¤é¤Ð¡¢SNAT ¥¿¡¼¥²¥Ã¥È¤ò»È¤¦¤Ù¤¤Ç¤¢¤ë¡£
+.\" 動的割り当て IP (ダイヤルアップ) 接続の場合にのみ使うべきである。
+.\" 固定 IP アドレスならば、SNAT ターゲットを使うべきである。
.\"O .\" Masquerading is equivalent to specifying a mapping to the IP
.\"O .\" address of the interface the packet is going out, but also has the
.\"O .\" effect that connections are
.\"O .\" .I forgotten
.\"O .\" when the interface goes down.
-.\" ¥Þ¥¹¥«¥ì¡¼¥Ç¥£¥ó¥°¤Ï¡¢¥Ñ¥±¥Ã¥È¤¬Á÷¿®¤µ¤ì¤ë¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤Î
-.\" IP ¥¢¥É¥ì¥¹¤Ø¤Î¥Þ¥Ã¥Ô¥ó¥°¤ò»ØÄꤹ¤ë¤Î¤ÈƱ¤¸¤Ç¤¢¤ë¤¬¡¢
-.\" ¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤¬Ää»ß¤·¤¿¾ì¹ç¤ËÀܳ¤ò\fI˺¤ì¤ë\fR¤È¤¤¤¦¸½¾Ý¤¬¤¢¤ë¡£
+.\" マスカレーディングは、パケットが送信されるインターフェースの
+.\" IP アドレスへのマッピングを指定するのと同じであるが、
+.\" インターフェースが停止した場合に接続を\fI忘れる\fRという現象がある。
.\"O .\" This is the correct behavior when the
.\"O .\" next dialup is unlikely to have the same interface address (and hence
.\"O .\" any established connections are lost anyway). It takes one option:
-.\" ¼¡¤Î¥À¥¤¥ä¥ë¥¢¥Ã¥×¤Ç¤ÏƱ¤¸¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¥¢¥É¥ì¥¹¤Ë¤Ê¤ë²ÄǽÀ¤¬Ä㤤
-.\" (¤½¤Î¤¿¤á¡¢Á°²ó³ÎΩ¤µ¤ì¤¿Àܳ¤Ï¼º¤ï¤ì¤ë) ¾ì¹ç¡¢
-.\" ¤³¤ÎÆ°ºî¤ÏÀµ¤·¤¤¡£
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬ 1 ¤Ä¤¢¤ë¡£
+.\" 次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い
+.\" (そのため、前回確立された接続は失われる) 場合、
+.\" この動作は正しい。
+.\" このターゲットにはオプションが 1 つある。
.\" .TP
.\" .BR "--to-ports " "\fIport\fP[-\fIport\fP]"
.\"O .\" This specifies a range of source ports to use, overriding the default
.\"O .\" .B "-p tcp"
.\"O .\" or
.\"O .\" .BR "-p udp" .
-.\" ¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢»ÈÍѤ¹¤ëÁ÷¿®¸µ¥Ý¡¼¥È¤ÎÈϰϤò»ØÄꤷ¡¢
-.\" ¥Ç¥Õ¥©¥ë¥È¤Î
+.\" このオプションは、使用する送信元ポートの範囲を指定し、
+.\" デフォルトの
.\" .B SNAT
-.\" Á÷¿®¸µ¥Ý¡¼¥È¤ÎÁªÂòÊýË¡ (¾åµ) ¤è¤ê¤âÍ¥À褵¤ì¤ë¡£
-.\" ¥ë¡¼¥ë¤¬
+.\" 送信元ポートの選択方法 (上記) よりも優先される。
+.\" ルールが
.\" .B "-p tcp"
-.\" ¤Þ¤¿¤Ï
+.\" または
.\" .B "-p udp"
-.\" ¤ò»ØÄꤷ¤Æ¤¤¤ë¾ì¹ç¤Ë¤Î¤ß͸ú¤Ç¤¢¤ë¡£
+.\" を指定している場合にのみ有効である。
.\" .SS REDIRECT
.\"O .\" This target is only valid in the
.\"O .\" .B nat
.\"O .\" chains. It alters the destination IP address to send the packet to
.\"O .\" the machine itself (locally-generated packets are mapped to the
.\"O .\" 127.0.0.1 address). It takes one option:
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¡¢
+.\" このターゲットは、
.\" .B nat
-.\" ¥Æ¡¼¥Ö¥ëÆâ¤Î
+.\" テーブル内の
.\" .B PREROUTING
-.\" ¥Á¥§¥¤¥óµÚ¤Ó
+.\" チェイン及び
.\" .B OUTPUT
-.\" ¥Á¥§¥¤¥ó¡¢¤½¤·¤Æ¤³¤ì¤é¥Á¥§¥¤¥ó¤«¤é¸Æ¤Ó½Ð¤µ¤ì¤ë
-.\" ¥æ¡¼¥¶ÄêµÁ¥Á¥§¥¤¥ó¤Ç¤Î¤ß͸ú¤Ç¤¢¤ë¡£
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¥Ñ¥±¥Ã¥È¤ÎÁ÷¿®Àè IP ¥¢¥É¥ì¥¹¤ò
-.\" ¥Þ¥·¥ó¼«¿È¤Î IP ¥¢¥É¥ì¥¹¤ËÊÑ´¹¤¹¤ë¡£
-.\" (¥í¡¼¥«¥ë¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤Ï¡¢¥¢¥É¥ì¥¹ 127.0.0.1 ¤Ë¥Þ¥Ã¥×¤µ¤ì¤ë)¡£
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬ 1 ¤Ä¤¢¤ë:
+.\" チェイン、そしてこれらチェインから呼び出される
+.\" ユーザ定義チェインでのみ有効である。
+.\" このターゲットはパケットの送信先 IP アドレスを
+.\" マシン自身の IP アドレスに変換する。
+.\" (ローカルで生成されたパケットは、アドレス 127.0.0.1 にマップされる)。
+.\" このターゲットにはオプションが 1 つある:
.\" .TP
.\" .BR "--to-ports " "\fIport\fP[-\fIport\fP]"
.\"O .\" This specifies a destination port or range of ports to use: without
.\"O .\" .B "-p tcp"
.\"O .\" or
.\"O .\" .BR "-p udp" .
-.\" ¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï»ÈÍѤµ¤ì¤ëÁ÷¿®Àè¥Ý¡¼¥È¡¦¥Ý¡¼¥ÈÈÏ°Ï¡¦Ê£¿ô¥Ý¡¼¥È¤ò»ØÄꤹ¤ë¡£
-.\" ¤³¤Î¥ª¥×¥·¥ç¥ó¤¬»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¡¢Á÷¿®Àè¥Ý¡¼¥È¤ÏÊѹ¹¤µ¤ì¤Ê¤¤¡£
-.\" ¥ë¡¼¥ë¤¬
+.\" このオプションは使用される送信先ポート・ポート範囲・複数ポートを指定する。
+.\" このオプションが指定されない場合、送信先ポートは変更されない。
+.\" ルールが
.\" .B "-p tcp"
-.\" ¤Þ¤¿¤Ï
+.\" または
.\" .B "-p udp"
-.\" ¤ò»ØÄꤷ¤Æ¤¤¤ë¾ì¹ç¤Ë¤Î¤ß͸ú¤Ç¤¢¤ë¡£
+.\" を指定している場合にのみ有効である。
.\"O .SH DIAGNOSTICS
-.SH ÊÖ¤êÃÍ
+.SH 返り値
.\"O Various error messages are printed to standard error. The exit code
.\"O is 0 for correct functioning. Errors which appear to be caused by
.\"O invalid or abused command line parameters cause an exit code of 2, and
.\"O other errors cause an exit code of 1.
-¤¤¤í¤¤¤í¤Ê¥¨¥é¡¼¥á¥Ã¥»¡¼¥¸¤¬É¸½à¥¨¥é¡¼¤Ëɽ¼¨¤µ¤ì¤ë¡£
-Àµ¤·¤¯µ¡Ç½¤·¤¿¾ì¹ç¡¢½ªÎ»¥³¡¼¥É¤Ï 0 ¤Ç¤¢¤ë¡£
-ÉÔÀµ¤Ê¥³¥Þ¥ó¥É¥é¥¤¥ó¥Ñ¥é¥á¡¼¥¿¤Ë¤è¤ê¥¨¥é¡¼¤¬È¯À¸¤·¤¿¾ì¹ç¤Ï¡¢
-½ªÎ»¥³¡¼¥É 2 ¤¬ÊÖ¤µ¤ì¤ë¡£
-¤½¤Î¾¤Î¥¨¥é¡¼¤Î¾ì¹ç¤Ï¡¢½ªÎ»¥³¡¼¥É 1 ¤¬ÊÖ¤µ¤ì¤ë¡£
+いろいろなエラーメッセージが標準エラーに表示される。
+正しく機能した場合、終了コードは 0 である。
+不正なコマンドラインパラメータによりエラーが発生した場合は、
+終了コード 2 が返される。
+その他のエラーの場合は、終了コード 1 が返される。
.\"O .SH BUGS
-.SH ¥Ð¥°
+.SH ã\83\90ã\82°
.\"O Bugs? What's this? ;-)
.\"O Well... the counters are not reliable on sparc64.
-¥Ð¥°? ¥Ð¥°¤Ã¤Æ²¿? ;-)
-¤¨¡¼¤È¡Ä¡¢sparc64 ¤Ç¤Ï¥«¥¦¥ó¥¿¡¼Ãͤ¬¿®Íê¤Ç¤¤Ê¤¤¡£
+バグ? バグって何? ;-)
+えーと…、sparc64 ではカウンター値が信頼できない。
.\"O .SH COMPATIBILITY WITH IPCHAINS
-.SH IPCHAINS ¤È¤Î¸ß´¹À
+.SH IPCHAINS との互換性
.\"O This
.\"O .B ip6tables
.\"O is very similar to ipchains by Rusty Russell. The main difference is
.\"O involves both INPUT and OUTPUT chains); previously a forwarded packet
.\"O would pass through all three.
.B ip6tables
-¤Ï¡¢Rusty Russell ¤Î ipchains ¤ÈÈó¾ï¤Ë¤è¤¯»÷¤Æ¤¤¤ë¡£
-Â礤ʰ㤤¤Ï¡¢¥Á¥§¥¤¥ó
+は、Rusty Russell の ipchains と非常によく似ている。
+大きな違いは、チェイン
.B INPUT
-¤È
+と
.B OUTPUT
-¤¬¡¢¤½¤ì¤¾¤ì¥í¡¼¥«¥ë¥Û¥¹¥È¤ËÆþ¤Ã¤Æ¤¯¤ë¥Ñ¥±¥Ã¥È¤È¡¢
-¥í¡¼¥«¥ë¥Û¥¹¥È¤«¤é½Ð¤µ¤ì¤ë¥Ñ¥±¥Ã¥È¤Î¤ß¤·¤«Ä´¤Ù¤Ê¤¤¤È¤¤¤¦ÅÀ¤Ç¤¢¤ë¡£
-¤è¤Ã¤Æ¡¢Á´¤Æ¤Î¥Ñ¥±¥Ã¥È¤Ï 3 ¤Ä¤¢¤ë¥Á¥§¥¤¥ó¤Î¤¦¤Á 1 ¤Ä¤·¤«Ä̤é¤Ê¤¤
-(¥ë¡¼¥×¥Ð¥Ã¥¯¥È¥é¥Õ¥£¥Ã¥¯¤ÏÎã³°¤Ç¡¢INPUT ¤È OUTPUT ¥Á¥§¥¤¥ó¤ÎξÊý¤òÄ̤ë)¡£
-°ÊÁ°¤Ï (ipchains ¤Ç¤Ï)¡¢
-¥Õ¥©¥ï¡¼¥É¤µ¤ì¤ë¥Ñ¥±¥Ã¥È¤¬ 3 ¤Ä¤Î¥Á¥§¥¤¥óÁ´¤Æ¤òÄ̤äƤ¤¤¿¡£
+が、それぞれローカルホストに入ってくるパケットと、
+ローカルホストから出されるパケットのみしか調べないという点である。
+よって、全てのパケットは 3 つあるチェインのうち 1 つしか通らない
+(ループバックトラフィックは例外で、INPUT と OUTPUT チェインの両方を通る)。
+以前は (ipchains では)、
+フォワードされるパケットが 3 つのチェイン全てを通っていた。
.PP
.\"O The other main difference is that
.\"O .B -i
.\"O entering the
.\"O .B FORWARD
.\"O chain.
-¤½¤Î¾¤ÎÂ礤ʰ㤤¤Ï¡¢
+その他の大きな違いは、
.B -i
-¤ÇÆþÎÏ¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¡¢
+で入力インターフェース、
.B -o
-¤Ç½ÐÎÏ¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ò»ØÄꤷ¡¢
-¤È¤â¤Ë
+で出力インターフェースを指定し、
+ともに
.B FORWARD
-¥Á¥§¥¤¥ó¤ËÆþ¤ë¥Ñ¥±¥Ã¥È¤ËÂФ·¤Æ»ØÄê²Äǽ¤ÊÅÀ¤Ç¤¢¤ë¡£
+チェインに入るパケットに対して指定可能な点である。
.\"O .\" .PP The various forms of NAT have been separated out;
.\"O .\" .B iptables
.\"O .\" is a pure packet filter when using the default `filter' table, with
.\"O .\" confusion over the combination of IP masquerading and packet filtering
.\"O .\" seen previously. So the following options are handled differently:
.\" .PP
-.\" NAT ¤Î¤¤¤í¤¤¤í¤Ê·Á¼°¤¬Ê¬³ä¤µ¤ì¤¿¡£
-.\" ¥ª¥×¥·¥ç¥ó¤Î³ÈÄ¥¥â¥¸¥å¡¼¥ë¤È¤È¤â¤Ë
-.\" ¥Ç¥Õ¥©¥ë¥È¤Î¡Ö¥Õ¥£¥ë¥¿¡×¥Æ¡¼¥Ö¥ë¤òÍѤ¤¤¿¾ì¹ç¡¢
+.\" NAT のいろいろな形式が分割された。
+.\" オプションの拡張モジュールとともに
+.\" デフォルトの「フィルタ」テーブルを用いた場合、
.\" .B iptables
-.\" ¤Ï½ã¿è¤Ê¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¤È¤Ê¤ë¡£
-.\" ¤³¤ì¤Ï¡¢°ÊÁ°¤ß¤é¤ì¤¿ IP ¥Þ¥¹¥«¥ì¡¼¥Ç¥£¥ó¥°¤È¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¥ê¥ó¥°¤Î
-.\" Áȹ礻¤Ë¤è¤ëº®Íð¤ò´Êά²½¤¹¤ë¡£
-.\" ¤è¤Ã¤Æ¡¢¥ª¥×¥·¥ç¥ó
+.\" は純粋なパケットフィルタとなる。
+.\" これは、以前みられた IP マスカレーディングとパケットフィルタリングの
+.\" 組合せによる混乱を簡略化する。
+.\" よって、オプション
.\" .br
.\" -j MASQ
.\" .br
.\" .br
.\" -M -L
.\" .br
-.\" ¤ÏÊ̤Τâ¤Î¤È¤·¤Æ°·¤ï¤ì¤ë¡£
+.\" は別のものとして扱われる。
.\"O There are several other changes in ip6tables.
-ip6tables ¤Ç¤Ï¡¢¤½¤Î¾¤Ë¤â¤¤¤¯¤Ä¤«¤ÎÊѹ¹¤¬¤¢¤ë¡£
+ip6tables では、その他にもいくつかの変更がある。
.\"O .SH SEE ALSO
-.SH ´ØÏ¢¹àÌÜ
+.SH 関連項目
.BR ip6tables-save (8),
.BR ip6tables-restore(8),
.BR iptables (8),
.\"O the netfilter-extensions-HOWTO details the extensions that are
.\"O not in the standard distribution,
.\"O and the netfilter-hacking-HOWTO details the netfilter internals.
-¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¥ê¥ó¥°¤Ë¤Ä¤¤¤Æ¤Î¾ÜºÙ¤Ê iptables ¤Î»ÈÍÑË¡¤ò
-ÀâÌÀ¤·¤Æ¤¤¤ë packet-filtering-HOWTO¡£
-NAT ¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë NAT-HOWTO¡£
-ɸ½àŪ¤ÊÇÛÉۤˤϴޤޤì¤Ê¤¤³ÈÄ¥¤Î¾ÜºÙ¤òÀâÌÀ¤·¤Æ¤¤¤ë netfilter-extensions-HOWTO¡£
-ÆâÉô¹½Â¤¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë netfilter-hacking-HOWTO¡£
+パケットフィルタリングについての詳細な iptables の使用法を
+説明している packet-filtering-HOWTO。
+NAT について詳細に説明している NAT-HOWTO。
+標準的な配布には含まれない拡張の詳細を説明している netfilter-extensions-HOWTO。
+内部構造について詳細に説明している netfilter-hacking-HOWTO。
.br
.\"O See
.\"O .BR "http://www.netfilter.org/" .
.B "http://www.netfilter.org/"
-¤ò»²¾È¤Î¤³¤È¡£
+を参照のこと。
.\"O .SH AUTHORS
-.SH Ãø¼Ô
+.SH 著者
.\"O Rusty Russell wrote iptables, in early consultation with Michael
.\"O Neuling.
-Rusty Russell ¤Ï¡¢½é´ü¤ÎÃʳ¬¤Ç Michael Neuling ¤ËÁêÃ̤·¤Æ iptables ¤ò½ñ¤¤¤¿¡£
+Rusty Russell は、初期の段階で Michael Neuling に相談して iptables を書いた。
.PP
.\"O Marc Boucher made Rusty abandon ipnatctl by lobbying for a generic packet
.\"O selection framework in iptables, then wrote the mangle table, the owner match,
.\"O the mark stuff, and ran around doing cool stuff everywhere.
-Marc Boucher ¤Ï Rusty ¤Ë iptables ¤Î°ìÈÌŪ¤Ê¥Ñ¥±¥Ã¥ÈÁªÂò¤Î¹Í¤¨Êý¤ò´«¤á¤Æ¡¢
-ipnatctl ¤ò»ß¤á¤µ¤»¤¿¡£
-¤½¤·¤Æ¡¢mangle ¥Æ¡¼¥Ö¥ë¡¦½êͼԥޥåÁ¥ó¥°¡¦
-mark µ¡Ç½¤ò½ñ¤¡¢¤¤¤¿¤ë¤È¤³¤í¤Ç»È¤ï¤ì¤Æ¤¤¤ëÁÇÀ²¤é¤·¤¤¥³¡¼¥É¤ò½ñ¤¤¤¿¡£
+Marc Boucher は Rusty に iptables の一般的なパケット選択の考え方を勧めて、
+ipnatctl を止めさせた。
+そして、mangle テーブル・所有者マッチング・
+mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。
.PP
.\"O James Morris wrote the TOS target, and tos match.
-James Morris ¤¬ TOS ¥¿¡¼¥²¥Ã¥È¤È tos ¥Þ¥Ã¥Á¥ó¥°¤ò½ñ¤¤¤¿¡£
+James Morris が TOS ターゲットと tos マッチングを書いた。
.PP
.\"O Jozsef Kadlecsik wrote the REJECT target.
-Jozsef Kadlecsik ¤¬ REJECT ¥¿¡¼¥²¥Ã¥È¤ò½ñ¤¤¤¿¡£
+Jozsef Kadlecsik が REJECT ターゲットを書いた。
.PP
.\"O Harald Welte wrote the ULOG target, TTL match+target and libipulog.
-Harald Welte ¤¬ ULOG ¥¿¡¼¥²¥Ã¥È¡¦TTL ¥Þ¥Ã¥Á¥ó¥°¤È TTL ¥¿¡¼¥²¥Ã¥È¡¦
-libipulog ¤ò½ñ¤¤¤¿¡£
+Harald Welte が ULOG ターゲット・TTL マッチングと TTL ターゲット・
+libipulog を書いた。
.PP
.\"O The Netfilter Core Team is: Marc Boucher, Martin Josefsson, Jozsef Kadlecsik,
.\"O James Morris, Harald Welte and Rusty Russell.
-Netfilter ¥³¥¢¥Á¡¼¥à¤Ï¡¢Marc Boucher, Martin Josefsson, Jozsef Kadlecsik,
-James Morris, Harald Welte, Rusty Russell ¤Ç¤¢¤ë¡£
+Netfilter コアチームは、Marc Boucher, Martin Josefsson, Jozsef Kadlecsik,
+James Morris, Harald Welte, Rusty Russell である。
.PP
.\"O ip6tables man page created by Andras Kis-Szabo, based on
.\"O iptables man page written by Herve Eychenne <rv@wallfire.org>.
-ip6tables ¤Î man ¥Ú¡¼¥¸¤Ï¡¢Andras Kis-Szabo ¤Ë¤è¤Ã¤ÆºîÀ®¤µ¤ì¤¿¡£
-¤³¤ì¤Ï Herve Eychenne <rv@wallfire.org> ¤Ë¤è¤Ã¤Æ½ñ¤«¤ì¤¿
-iptables ¤Î man ¥Ú¡¼¥¸¤ò¸µ¤Ë¤·¤Æ¤¤¤ë¡£
+ip6tables の man ページは、Andras Kis-Szabo によって作成された。
+これは Herve Eychenne <rv@wallfire.org> によって書かれた
+iptables の man ページを元にしている。
.\"O .\" .. and did I mention that we are incredibly cool people?
.\"O .\" .. sexy, too ..
.\"O .\" .. witty, charming, powerful ..
.\"O .\" .. and most of all, modest ..
-.\" .. ¤½¤·¤Æ¡¢ËÍÅù¤¬¤È¤Æ¤â¥¯¡¼¥ë¤ÊÅÛ¤é¤À¤È¸À¤Ã¤Æ¤ª¤¤¤Æ¤â¤¤¤¤¤«¤Ê¡©
-.\" .. ¥»¥¯¥·¡¼¤Ç ..
-.\" .. ¤È¤Æ¤â¥¦¥£¥Ã¥È¤ËÉÙ¤ó¤Ç¤¤¤Æ¡¢¥Á¥ã¡¼¥ß¥ó¥°¤Ç¡¢¥Ñ¥ï¥Õ¥ë¤Ç ..
-.\" .. ¤½¤·¤Æ¡¢¤ß¤ó¤Ê¸¬µõ¤Ê¤ó¤À ..
+.\" .. そして、僕等がとてもクールな奴らだと言っておいてもいいかな?
+.\" .. セクシーで ..
+.\" .. とてもウィットに富んでいて、チャーミングで、パワフルで ..
+.\" .. そして、みんな謙虚なんだ ..
.\" by Yuichi SATO <ysato@h4.dion.ne.jp>
.\"
.\"O .SH NAME
-.SH ̾Á°
+.SH 名前
.\"O iptables-restore \- Restore IP Tables
-iptables-restore \- IP ¥Æ¡¼¥Ö¥ë¤òÉü¸µ¤¹¤ë
+iptables-restore \- IP テーブルを復元する
.\"O .SH SYNOPSIS
-.SH ½ñ¼°
+.SH 書式
.BR "iptables-restore " "[-c] [-n]"
.br
.\"O .SH DESCRIPTION
-.SH ÀâÌÀ
+.SH 説明
.PP
.\"O .B iptables-restore
.\"O is used to restore IP Tables from data specified on STDIN. Use
.\"O I/O redirection provided by your shell to read from a file
.B iptables-restore
-¤Ïɸ½àÆþÎϤǻØÄꤵ¤ì¤¿¥Ç¡¼¥¿¤«¤é IP ¥Æ¡¼¥Ö¥ë¤òÉü¸µ¤¹¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
-¥Õ¥¡¥¤¥ë¤«¤éÆɤ߹þ¤à¤¿¤á¤Ë¤Ï¡¢
-¥·¥§¥ë¤ÇÄ󶡤µ¤ì¤Æ¤¤¤ë I/O ¥ê¥À¥¤¥ì¥¯¥·¥ç¥ó¤ò»È¤¦¤³¤È¡£
+は標準入力で指定されたデータから IP テーブルを復元するために使われる。
+ファイルから読み込むためには、
+シェルで提供されている I/O リダイレクションを使うこと。
.TP
\fB\-c\fR, \fB\-\-counters\fR
.\"O restore the values of all packet and byte counters
-Á´¤Æ¤Î¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤ÎÃͤòÉü¸µ¤¹¤ë¡£
+全てのパケットカウンタとバイトカウンタの値を復元する。
.TP
\fB\-n\fR, \fB\-\-noflush\fR
.\"O .TP
.\"O don't flush the previous contents of the table. If not specified,
.\"O .B iptables-restore
.\"O flushes (deletes) all previous contents of the respective IP Table.
-¤³¤ì¤Þ¤Ç¤Î¥Æ¡¼¥Ö¥ë¤ÎÆâÍƤò¥Õ¥é¥Ã¥·¥å¤·¤Ê¤¤¡£
-»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¡¢
+これまでのテーブルの内容をフラッシュしない。
+指定されない場合、
.B iptables-restore
-¤Ï¡¢¤³¤ì¤Þ¤Ç¤Î³Æ IP ¥Æ¡¼¥Ö¥ë¤ÎÆâÍƤòÁ´¤Æ¥Õ¥é¥Ã¥·¥å (ºï½ü) ¤¹¤ë¡£
+は、これまでの各 IP テーブルの内容を全てフラッシュ (削除) する。
.\"O .SH BUGS
-.SH ¥Ð¥°
+.SH ã\83\90ã\82°
.\"O None known as of iptables-1.2.1 release
-iptables-1.2.1 ¥ê¥ê¡¼¥¹¤Ç¤ÏÃΤé¤ì¤Æ¤¤¤Ê¤¤¡£
+iptables-1.2.1 リリースでは知られていない。
.\"O .SH AUTHOR
-.SH Ãø¼Ô
+.SH 著者
Harald Welte <laforge@gnumonks.org>
.\"O .SH SEE ALSO
-.SH ´ØÏ¢¹àÌÜ
+.SH 関連項目
.BR iptables-save "(8), " iptables "(8) "
.PP
.\"O The iptables-HOWTO, which details more iptables usage, the NAT-HOWTO,
.\"O which details NAT, and the netfilter-hacking-HOWTO which details the
.\"O internals.
-¤è¤ê¿¤¯¤Î iptables ¤Î»ÈÍÑË¡¤Ë¤Ä¤¤¤Æ
-¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë iptables-HOWTO¡£
-NAT ¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë NAT-HOWTO¡£
-ÆâÉô¹½Â¤¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë netfilter-hacking-HOWTO¡£
+より多くの iptables の使用法について
+詳細に説明している iptables-HOWTO。
+NAT について詳細に説明している NAT-HOWTO。
+内部構造について詳細に説明している netfilter-hacking-HOWTO。
.\" by Yuichi SATO <ysato@h4.dion.ne.jp>
.\"
.\"O .SH NAME
-.SH ̾Á°
+.SH 名前
.\"O iptables-save \- Save IP Tables
-iptables-save \- IP ¥Æ¡¼¥Ö¥ë¤òÊݸ¤¹¤ë
+iptables-save \- IP テーブルを保存する
.\"O .SH SYNOPSIS
-.SH ½ñ¼°
+.SH 書式
.BR "iptables-save " "[-c] [-t table]"
.br
.\"O .SH DESCRIPTION
-.SH ÀâÌÀ
+.SH 説明
.PP
.\"O .B iptables-save
.\"O is used to dump the contents of an IP Table in easily parseable format
.\"O to STDOUT. Use I/O-redirection provided by your shell to write to a file.
.B iptables-save
-¤Ï IP ¥Æ¡¼¥Ö¥ë¤ÎÆâÍƤò´Êñ¤Ë²òÀϤǤ¤ë·Á¼°¤Ç
-ɸ½à½ÐÎϤ˥À¥ó¥×¤¹¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
-¥Õ¥¡¥¤¥ë¤Ë½ñ¤½Ð¤¹¤¿¤á¤Ë¤Ï¡¢
-¥·¥§¥ë¤ÇÄ󶡤µ¤ì¤Æ¤¤¤ë I/O ¥ê¥À¥¤¥ì¥¯¥·¥ç¥ó¤ò»È¤¦¤³¤È¡£
+は IP テーブルの内容を簡単に解析できる形式で
+標準出力にダンプするために使われる。
+ファイルに書き出すためには、
+シェルで提供されている I/O リダイレクションを使うこと。
.TP
\fB\-c\fR, \fB\-\-counters\fR
.\"O include the current values of all packet and byte counters in the output
-Á´¤Æ¤Î¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤Î¸½ºß¤ÎÃͤò½ÐÎϤ¹¤ë¡£
+全てのパケットカウンタとバイトカウンタの現在の値を出力する。
.TP
\fB\-t\fR, \fB\-\-table\fR \fBtablename\fR
.\"O .TP
.\"O restrict output to only one table. If not specified, output includes all
.\"O available tables.
-½ÐÎϤò 1 ¤Ä¤Î¥Æ¡¼¥Ö¥ë¤Î¤ß¤ËÀ©¸Â¤¹¤ë¡£
-»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¡¢ÆÀ¤é¤ì¤¿Á´¤Æ¤Î¥Æ¡¼¥Ö¥ë¤ò½ÐÎϤ¹¤ë¡£
+出力を 1 つのテーブルのみに制限する。
+指定されない場合、得られた全てのテーブルを出力する。
.\"O .SH BUGS
-.SH ¥Ð¥°
+.SH ã\83\90ã\82°
.\"O None known as of iptables-1.2.1 release
-iptables-1.2.1 ¥ê¥ê¡¼¥¹¤Ç¤ÏÃΤé¤ì¤Æ¤¤¤Ê¤¤¡£
+iptables-1.2.1 リリースでは知られていない。
.\"O .SH AUTHOR
-.SH Ãø¼Ô
+.SH 著者
Harald Welte <laforge@gnumonks.org>
.\"O .SH SEE ALSO
-.SH ´ØÏ¢¹àÌÜ
+.SH 関連項目
.BR iptables-restore "(8), " iptables "(8) "
.PP
.\"O The iptables-HOWTO, which details more iptables usage, the NAT-HOWTO,
.\"O which details NAT, and the netfilter-hacking-HOWTO which details the
.\"O internals.
-¤è¤ê¿¤¯¤Î iptables ¤Î»ÈÍÑË¡¤Ë¤Ä¤¤¤Æ
-¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë iptables-HOWTO¡£
-NAT ¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë NAT-HOWTO¡£
-ÆâÉô¹½Â¤¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë netfilter-hacking-HOWTO¡£
+より多くの iptables の使用法について
+詳細に説明している iptables-HOWTO。
+NAT について詳細に説明している NAT-HOWTO。
+内部構造について詳細に説明している netfilter-hacking-HOWTO。
.\" Updated & Modified Sat Feb 21 23:28:25 JST 2004
.\" by Yuichi SATO <ysato444@yahoo.co.jp>
.\"
-.\"WORD: chain ¥Á¥§¥¤¥ó
-.\"WORD: built-in chain ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó
-.\"WORD: connection tracking ÀܳÄÉÀ×
-.\"WORD: enslave ¥¹¥ì¡¼¥Ö¤Ë¤¹¤ë
-.\"WORD: infrastructure ´ðÈ×
-.\"WORD: round-robin ¥é¥¦¥ó¥É¡¦¥í¥Ó¥ó
-.\"WORD: rule traverse ¥ë¡¼¥ë¤Î¸¡Æ¤
-.\"WORD: non-terminating target Èó½ªÎ»¥¿¡¼¥²¥Ã¥È
-.\"WORD: criteria ȽÃÇ(¤¹¤ë)´ð½à
+.\"WORD: chain チェイン
+.\"WORD: built-in chain 組み込み済みチェイン
+.\"WORD: connection tracking 接続追跡
+.\"WORD: enslave スレーブにする
+.\"WORD: infrastructure 基盤
+.\"WORD: round-robin ラウンド・ロビン
+.\"WORD: rule traverse ルールの検討
+.\"WORD: non-terminating target 非終了ターゲット
+.\"WORD: criteria 判断(する)基準
.\"
.TH IPTABLES 8 "Mar 09, 2002" "" ""
.\"O .SH NAME
-.SH ̾Á°
+.SH 名前
.\"O iptables \- administration tool for IPv4 packet filtering and NAT
-iptables \- IPv4 ¤Î¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¤È NAT ¤ò´ÉÍý¤¹¤ë¥Ä¡¼¥ë
+iptables \- IPv4 のパケットフィルタと NAT を管理するツール
.\"O .SH SYNOPSIS
-.SH ½ñ¼°
+.SH 書式
.\"O .BR "iptables [-t table] -[AD] " "chain rule-specification [options]"
-.BR "iptables [-t table] -[AD] " "¥Á¥§¥¤¥ó ¥ë¡¼¥ë¤Î¾ÜºÙ [¥ª¥×¥·¥ç¥ó]"
+.BR "iptables [-t table] -[AD] " "チェイン ルールの詳細 [オプション]"
.br
.\"O .BR "iptables [-t table] -I " "chain [rulenum] rule-specification [options]"
-.BR "iptables [-t table] -I " "¥Á¥§¥¤¥ó [¥ë¡¼¥ëÈÖ¹æ] ¥ë¡¼¥ë¤Î¾ÜºÙ [¥ª¥×¥·¥ç¥ó]"
+.BR "iptables [-t table] -I " "チェイン [ルール番号] ルールの詳細 [オプション]"
.br
.\"O .BR "iptables [-t table] -R " "chain rulenum rule-specification [options]"
-.BR "iptables [-t table] -R " "¥Á¥§¥¤¥ó ¥ë¡¼¥ëÈÖ¹æ ¥ë¡¼¥ë¤Î¾ÜºÙ [¥ª¥×¥·¥ç¥ó]"
+.BR "iptables [-t table] -R " "チェイン ルール番号 ルールの詳細 [オプション]"
.br
.\"O .BR "iptables [-t table] -D " "chain rulenum [options]"
-.BR "iptables [-t table] -D " "¥Á¥§¥¤¥ó ¥ë¡¼¥ëÈÖ¹æ [¥ª¥×¥·¥ç¥ó]"
+.BR "iptables [-t table] -D " "チェイン ルール番号 [オプション]"
.br
.\"O .BR "iptables [-t table] -[LFZ] " "[chain] [options]"
-.BR "iptables [-t table] -[LFZ] " "[¥Á¥§¥¤¥ó] [¥ª¥×¥·¥ç¥ó]"
+.BR "iptables [-t table] -[LFZ] " "[チェイン] [オプション]"
.br
.\"O .BR "iptables [-t table] -N " "chain"
-.BR "iptables [-t table] -N " "¥Á¥§¥¤¥ó"
+.BR "iptables [-t table] -N " "チェイン"
.br
.\"O .BR "iptables [-t table] -X " "[chain]"
-.BR "iptables [-t table] -X " "[¥Á¥§¥¤¥ó]"
+.BR "iptables [-t table] -X " "[チェイン]"
.br
.\"O .BR "iptables [-t table] -P " "chain target [options]"
-.BR "iptables [-t table] -P " "¥Á¥§¥¤¥ó ¥¿¡¼¥²¥Ã¥È [¥ª¥×¥·¥ç¥ó]"
+.BR "iptables [-t table] -P " "チェイン ターゲット [オプション]"
.br
.\"O .BR "iptables [-t table] -E " "old-chain-name new-chain-name"
-.BR "iptables [-t table] -E " "µì¥Á¥§¥¤¥ó̾ ¿·¥Á¥§¥¤¥ó̾"
+.BR "iptables [-t table] -E " "旧チェイン名 新チェイン名"
.\"O .SH DESCRIPTION
-.SH ÀâÌÀ
+.SH 説明
.\"O .B Iptables
.\"O is used to set up, maintain, and inspect the tables of IP packet
.\"O filter rules in the Linux kernel. Several different tables
.\"O may be defined. Each table contains a number of built-in
.\"O chains and may also contain user-defined chains.
.B iptables
-¤Ï Linux ¥«¡¼¥Í¥ë¤Î IP ¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¥ë¡¼¥ë¤Î¥Æ¡¼¥Ö¥ë¤ò
-ÀßÄꡦ´ÉÍý¡¦¸¡ºº¤¹¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
-Ê£¿ô¤Î°Û¤Ê¤ë¥Æ¡¼¥Ö¥ë¤òÄêµÁ¤Ç¤¤ë¡£
-³Æ¥Æ¡¼¥Ö¥ë¤Ë¤Ï¤¿¤¯¤µ¤ó¤ÎÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤¬´Þ¤Þ¤ì¤Æ¤ª¤ê¡¢
-¤µ¤é¤Ë¥æ¡¼¥¶¡¼ÄêµÁ¤Î¥Á¥§¥¤¥ó¤ò²Ã¤¨¤ë¤³¤È¤â¤Ç¤¤ë¡£
+は Linux カーネルの IP パケットフィルタルールのテーブルを
+設定・管理・検査するために使われる。
+複数の異なるテーブルを定義できる。
+各テーブルにはたくさんの組み込み済みチェインが含まれており、
+さらにユーザー定義のチェインを加えることもできる。
.\"O Each chain is a list of rules which can match a set of packets. Each
.\"O rule specifies what to do with a packet that matches. This is called
.\"O a `target', which may be a jump to a user-defined chain in the same
.\"O table.
-³Æ¥Á¥§¥¤¥ó¤Ï¡¢¥Ñ¥±¥Ã¥È·²¤Ë¥Þ¥Ã¥Á¤¹¤ë¥ë¡¼¥ë¤Î¥ê¥¹¥È¤Ç¤¢¤ë¡£
-³Æ¥ë¡¼¥ë¤Ï¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤ËÂФ·¤Æ²¿¤ò¤¹¤ë¤«¤ò»ØÄꤹ¤ë¡£
-¤³¤ì¤Ï¡Ö¥¿¡¼¥²¥Ã¥È¡×¤È¸Æ¤Ð¤ì¡¢
-Ʊ¤¸¥Æ¡¼¥Ö¥ëÆâ¤Î¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤Ë¥¸¥ã¥ó¥×¤¹¤ë¤³¤È¤â¤Ç¤¤ë¡£
+各チェインは、パケット群にマッチするルールのリストである。
+各ルールはマッチしたパケットに対して何をするかを指定する。
+これは「ターゲット」と呼ばれ、
+同じテーブル内のユーザー定義チェインにジャンプすることもできる。
.\"O .SH TARGETS
-.SH ¥¿¡¼¥²¥Ã¥È
+.SH ターゲット
.\"O A firewall rule specifies criteria for a packet, and a target. If the
.\"O packet does not match, the next rule in the chain is the examined; if
.\"O it does match, then the next rule is specified by the value of the
.\"O .IR QUEUE ,
.\"O or
.\"O .IR RETURN .
-¤Ò¤È¤Ä¤Î¥Õ¥¡¥¤¥¢¥¦¥©¡¼¥ë¥ë¡¼¥ë¤Ç¤Ï¡¢
-¥Ñ¥±¥Ã¥È¤òȽÃǤ¹¤ë´ð½à¤È¥¿¡¼¥²¥Ã¥È¤È¤¬»ØÄꤵ¤ì¤ë¡£
-¥Ñ¥±¥Ã¥È¤¬¥Þ¥Ã¥Á¤·¤Ê¤¤¾ì¹ç¡¢¥Á¥§¥¤¥óÆâ¤Î¼¡¤Î¥ë¡¼¥ë¤¬É¾²Á¤µ¤ì¤ë¡£
-¥Ñ¥±¥Ã¥È¤¬¥Þ¥Ã¥Á¤·¤¿¾ì¹ç¡¢
-¥¿¡¼¥²¥Ã¥È¤ÎÃͤ¬¼¡¤Î¥ë¡¼¥ë¤ò»ØÄꤹ¤ë¡£
-¥¿¡¼¥²¥Ã¥È¤ÎÃͤϡ¢¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤Î̾Á°¡¢¤Þ¤¿¤ÏÆÃÊ̤ÊÃÍ
+ひとつのファイアウォールルールでは、
+パケットを判断する基準とターゲットとが指定される。
+パケットがマッチしない場合、チェイン内の次のルールが評価される。
+パケットがマッチした場合、
+ターゲットの値が次のルールを指定する。
+ターゲットの値は、ユーザー定義チェインの名前、または特別な値
.IR ACCEPT ,
.IR DROP ,
.IR QUEUE ,
.I RETURN
-¤Î¤¦¤Á¤Î 1 ¤Ä¤Ç¤¢¤ë¡£
+のうちの 1 つである。
.PP
.\"O .I ACCEPT
.\"O means to let the packet through.
.I ACCEPT
-¤Ï¥Ñ¥±¥Ã¥È¤òÄ̤¹¤È¤¤¤¦°ÕÌ£¤Ç¤¢¤ë¡£
+はパケットを通すという意味である。
.\"O .I DROP
.\"O means to drop the packet on the floor.
.I DROP
-¤Ï¥Ñ¥±¥Ã¥È¤ò¾²¤ËÍ (¼Î¤Æ¤ë) ¤È¤¤¤¦°ÕÌ£¤Ç¤¢¤ë¡£
+はパケットを床に落す (捨てる) という意味である。
.\"O .I QUEUE
.\"O means to pass the packet to userspace (if supported by the kernel).
.I QUEUE
-¤Ï¥Ñ¥±¥Ã¥È¤ò¥æ¡¼¥¶¡¼¶õ´Ö¤ËÅϤ¹¤È¤¤¤¦°ÕÌ£¤Ç¤¢¤ë
-(¥«¡¼¥Í¥ë¤¬¥µ¥Ý¡¼¥È¤·¤Æ¤¤¤ì¤Ð¤Ç¤¢¤ë¤¬)¡£
+はパケットをユーザー空間に渡すという意味である
+(カーネルがサポートしていればであるが)。
.\"O .I RETURN
.\"O means stop traversing this chain and resume at the next rule in the
.\"O previous (calling) chain. If the end of a built-in chain is reached
.\"O is matched, the target specified by the chain policy determines the
.\"O fate of the packet.
.I RETURN
-¤Ï¡¢¤³¤Î¥Á¥§¥¤¥ó¤Î¸¡Æ¤¤òÃæ»ß¤·¤Æ¡¢
-°ÊÁ°¤Î (¸Æ¤Ó½Ð¤·¸µ) ¥Á¥§¥¤¥óÆâ¤Î
-¼¡¤Î¥ë¡¼¥ë¤«¤é¸¡Æ¤¤òºÆ³«¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ç¤¢¤ë¡£
-ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤ÎºÇ¸å¤ËÅþ㤷¤¿¾ì¹ç¡¢
-¤Þ¤¿¤ÏÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤Ç¥¿¡¼¥²¥Ã¥È
+は、このチェインの検討を中止して、
+以前の (呼び出し元) チェイン内の
+次のルールから検討を再開するという意味である。
+組み込み済みチェインの最後に到達した場合、
+または組み込み済みチェインでターゲット
.I RETURN
-¤ò»ý¤Ä¥ë¡¼¥ë¤Ë¥Þ¥Ã¥Á¤·¤¿¾ì¹ç¡¢
-¥Á¥§¥¤¥ó¥Ý¥ê¥·¡¼¤Ç»ØÄꤵ¤ì¤¿¥¿¡¼¥²¥Ã¥È¤¬
-¥Ñ¥±¥Ã¥È¤Î¹ÔÊý¤ò·èÄꤹ¤ë¡£
+を持つルールにマッチした場合、
+チェインポリシーで指定されたターゲットが
+パケットの行方を決定する。
.\"O .SH TABLES
-.SH ¥Æ¡¼¥Ö¥ë
+.SH テーブル
.\"O There are currently three independent tables (which tables are present
.\"O at any time depends on the kernel configuration options and which
.\"O modules are present).
-¸½ºß¤Î¤È¤³¤í 3 ¤Ä¤ÎÆÈΩ¤Ê¥Æ¡¼¥Ö¥ë¤¬Â¸ºß¤¹¤ë
-(¤¢¤ë»þÅÀ¤Ç¤É¤Î¥Æ¡¼¥Ö¥ë¤¬Â¸ºß¤¹¤ë¤«¤Ï¡¢
-¥«¡¼¥Í¥ë¤ÎÀßÄê¤ä¤É¤¦¤¤¤Ã¤¿¥â¥¸¥å¡¼¥ë¤¬Â¸ºß¤¹¤ë¤«¤Ë°Í¸¤¹¤ë)¡£
+現在のところ 3 つの独立なテーブルが存在する
+(ある時点でどのテーブルが存在するかは、
+カーネルの設定やどういったモジュールが存在するかに依存する)。
.TP
.BI "-t, --table " "table"
.\"O This option specifies the packet matching table which the command
.\"O should operate on. If the kernel is configured with automatic module
.\"O loading, an attempt will be made to load the appropriate module for
.\"O that table if it is not already there.
-¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢¤³¤Î¥³¥Þ¥ó¥É¤òŬÍѤ¹¤ë
-¥Ñ¥±¥Ã¥È¥Þ¥Ã¥Á¥ó¥°¥Æ¡¼¥Ö¥ë¤ò»ØÄꤹ¤ë¡£
-¥«¡¼¥Í¥ë¤Ë¼«Æ°¥â¥¸¥å¡¼¥ë¥í¡¼¥Ç¥£¥ó¥°¤¬ÀßÄꤵ¤ì¤Æ¤¤¤ë¾ì¹ç¡¢
-¤½¤Î¥Æ¡¼¥Ö¥ë¤ËÂФ¹¤ëŬÀڤʥ⥸¥å¡¼¥ë¤¬¤Þ¤À¥í¡¼¥É¤µ¤ì¤Æ¤¤¤Ê¤±¤ì¤Ð¡¢
-¤½¤Î¥â¥¸¥å¡¼¥ë¤¬¥í¡¼¥É¤µ¤ì¤ë¡£
+このオプションは、このコマンドを適用する
+パケットマッチングテーブルを指定する。
+カーネルに自動モジュールローディングが設定されている場合、
+そのテーブルに対する適切なモジュールがまだロードされていなければ、
+そのモジュールがロードされる。
.\"O The tables are as follows:
-¥Æ¡¼¥Ö¥ë¤Ï°Ê²¼¤ÎÄ̤ê¤Ç¤¢¤ë¡£
+テーブルは以下の通りである。
.RS
.TP .4i
.BR "filter" :
.\"O (for packets being routed through the box), and
.\"O .B OUTPUT
.\"O (for locally-generated packets).
-(\-t ¥ª¥×¥·¥ç¥ó¤¬ÅϤµ¤ì¤Ê¤±¤ì¤Ð) ¤³¤ì¤¬¥Ç¥Õ¥©¥ë¥È¤Î¥Æ¡¼¥Ö¥ë¤Ç¤¢¤ë¡£
-¤³¤ì¤Ë¤Ï
+(\-t オプションが渡されなければ) これがデフォルトのテーブルである。
+これには
.B INPUT
-(¥Þ¥·¥ó¼«ÂΤËÆþ¤Ã¤Æ¤¯¤ë¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)¡¦
+(マシン自体に入ってくるパケットに対するチェイン)・
.B FORWARD
-(¥Þ¥·¥ó¤ò·Ðͳ¤¹¤ë¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)¡¦
+(マシンを経由するパケットに対するチェイン)・
.B OUTPUT
-(¥í¡¼¥«¥ë¥Þ¥·¥ó¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)
-¤È¤¤¤¦ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤¬´Þ¤Þ¤ì¤ë¡£
+(ローカルマシンで生成されたパケットに対するチェイン)
+という組み込み済みチェインが含まれる。
.TP
.BR "nat" :
.\"O This table is consulted when a packet that creates a new
.\"O (for altering locally-generated packets before routing), and
.\"O .B POSTROUTING
.\"O (for altering packets as they are about to go out).
-¤³¤Î¥Æ¡¼¥Ö¥ë¤Ï¿·¤·¤¤Àܳ¤ò³«¤¯¤è¤¦¤Ê¥Ñ¥±¥Ã¥È¤ËÂФ·¤Æ»²¾È¤µ¤ì¤ë¡£
-¤³¤ì¤Ë¤Ï
+このテーブルは新しい接続を開くようなパケットに対して参照される。
+これには
.B PREROUTING
-(¥Ñ¥±¥Ã¥È¤¬Æþ¤Ã¤Æ¤¤¿¾ì¹ç¡¢¤¹¤°¤Ë¤½¤Î¥Ñ¥±¥Ã¥È¤òÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)¡¦
+(パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)・
.B OUTPUT
-(¥í¡¼¥«¥ë¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤ò¥ë¡¼¥Æ¥£¥ó¥°¤ÎÁ°¤ËÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)¡¦
+(ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)・
.B POSTROUTING
-(¥Ñ¥±¥Ã¥È¤¬½Ð¤Æ¹Ô¤¯¤È¤¤ËÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)
-¤È¤¤¤¦ 3 ¤Ä¤ÎÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤¬´Þ¤Þ¤ì¤ë¡£
+(パケットが出て行くときに変換するためのチェイン)
+という 3 つの組み込み済みチェインが含まれる。
.TP
.BR "mangle" :
.\"O This table is used for specialized packet alteration. Until kernel
.\"O (for altering packets being routed through the box), and
.\"O .B POSTROUTING
.\"O (for altering packets as they are about to go out).
-¤³¤Î¥Æ¡¼¥Ö¥ë¤ÏÆÃÊ̤ʥѥ±¥Ã¥ÈÊÑ´¹¤Ë»È¤ï¤ì¤ë¡£
-¤³¤ì¤Ë¤Ï¡¢¥«¡¼¥Í¥ë 2.4.17 ¤Þ¤Ç¤Ï
+このテーブルは特別なパケット変換に使われる。
+これには、カーネル 2.4.17 までは
.B PREROUTING
-(¥Ñ¥±¥Ã¥È¤¬Æþ¤Ã¤Æ¤¤¿¾ì¹ç¡¢¤¹¤°¤Ë¤½¤Î¥Ñ¥±¥Ã¥È¤òÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)¡¦
+(パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)・
.B OUTPUT
-(¥í¡¼¥«¥ë¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤ò¥ë¡¼¥Æ¥£¥ó¥°¤ÎÁ°¤ËÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)
-¤È¤¤¤¦ 2 ¤Ä¤ÎÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤¬´Þ¤Þ¤ì¤ë¡£
-¥«¡¼¥Í¥ë 2.4.18 ¤«¤é¤Ï¡¢¤³¤ì¤é¤Î¾¤Ë
+(ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)
+という 2 つの組み込み済みチェインが含まれる。
+カーネル 2.4.18 からは、これらの他に
.B INPUT
-(¥Þ¥·¥ó¼«ÂΤËÆþ¤Ã¤Æ¤¯¤ë¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)¡¦
+(マシン自体に入ってくるパケットに対するチェイン)・
.B FORWARD
-(¥Þ¥·¥ó¤ò·Ðͳ¤¹¤ë¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)¡¦
+(マシンを経由するパケットに対するチェイン)・
.B POSTROUTING
-(¥Ñ¥±¥Ã¥È¤¬½Ð¤Æ¹Ô¤¯¤È¤¤ËÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)
-¤È¤¤¤¦ 3 ¤Ä¤ÎÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤â´Þ¤Þ¤ì¤ë¡£
+(パケットが出て行くときに変換するためのチェイン)
+という 3 つの組み込み済みチェインも含まれる。
.RE
.\"O .SH OPTIONS
-.SH ¥ª¥×¥·¥ç¥ó
+.SH オプション
.\"O The options that are recognized by
.\"O .B iptables
.\"O can be divided into several different groups.
.B iptables
-¤Ç»È¤¨¤ë¥ª¥×¥·¥ç¥ó¤Ï¡¢¤¤¤¯¤Ä¤«¤Î¥°¥ë¡¼¥×¤Ëʬ¤±¤é¤ì¤ë¡£
+で使えるオプションは、いくつかのグループに分けられる。
.\"O .SS COMMANDS
-.SS ¥³¥Þ¥ó¥É
+.SS コマンド
.\"O These options specify the specific action to perform. Only one of them
.\"O can be specified on the command line unless otherwise specified
.\"O below. For all the long versions of the command and option names, you
.\"O need to use only enough letters to ensure that
.\"O .B iptables
.\"O can differentiate it from all other options.
-¤³¤ì¤é¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢¼Â¹Ô¤¹¤ëÆÃÄê¤ÎÆ°ºî¤ò»ØÄꤹ¤ë¡£
-°Ê²¼¤ÎÀâÌÀ¤ÇÃíµ¤µ¤ì¤Æ¤¤¤Ê¤¤¸Â¤ê¡¢
-¥³¥Þ¥ó¥É¥é¥¤¥ó¤Ç»ØÄê¤Ç¤¤ë¤Î¤Ï¤³¤ÎÃæ¤Î 1 ¤Ä¤À¤±¤Ç¤¢¤ë¡£
-Ť¤¥Ð¡¼¥¸¥ç¥ó¤Î¥³¥Þ¥ó¥É̾¤È¥ª¥×¥·¥ç¥ó̾¤Ï¡¢
+これらのオプションは、実行する特定の動作を指定する。
+以下の説明で注記されていない限り、
+コマンドラインで指定できるのはこの中の 1 つだけである。
+長いバージョンのコマンド名とオプション名は、
.B iptables
-¤¬Â¾¤Î¥³¥Þ¥ó¥É̾¤ä¥ª¥×¥·¥ç¥ó̾¤È¶èÊ̤Ǥ¤ëÈϰϤÇ
-(ʸ»ú¤ò¾Êά¤·¤Æ) »ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë¡£
+が他のコマンド名やオプション名と区別できる範囲で
+(文字を省略して) 指定することもできる。
.TP
.\"O .BI "-A, --append " "chain rule-specification"
-.BI "-A, --append " "¥Á¥§¥¤¥ó ¥ë¡¼¥ë¤Î¾ÜºÙ"
+.BI "-A, --append " "チェイン ルールの詳細"
.\"O Append one or more rules to the end of the selected chain.
.\"O When the source and/or destination names resolve to more than one
.\"O address, a rule will be added for each possible address combination.
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤ÎºÇ¸å¤Ë 1 ¤Ä°Ê¾å¤Î¥ë¡¼¥ë¤òÄɲ乤롣
-Á÷¿®¸µ¤äÁ÷¿®Àè¤Î̾Á°¤¬ 1 ¤Ä°Ê¾å¤Î¥¢¥É¥ì¥¹¤Ë²ò·è¤µ¤ì¤¿¾ì¹ç¤Ï¡¢
-²Äǽ¤Ê¥¢¥É¥ì¥¹¤ÎÁȹ礻¤½¤ì¤¾¤ì¤ËÂФ·¤Æ¥ë¡¼¥ë¤¬Äɲ䵤ì¤ë¡£
+選択されたチェインの最後に 1 つ以上のルールを追加する。
+送信元や送信先の名前が 1 つ以上のアドレスに解決された場合は、
+可能なアドレスの組合せそれぞれに対してルールが追加される。
.TP
.\"O .BI "-D, --delete " "chain rule-specification"
-.BI "-D, --delete " "¥Á¥§¥¤¥ó ¥ë¡¼¥ë¤Î¾ÜºÙ"
+.BI "-D, --delete " "チェイン ルールの詳細"
.ns
.TP
.\"O .BI "-D, --delete " "chain rulenum"
-.BI "-D, --delete " "¥Á¥§¥¤¥ó ¥ë¡¼¥ëÈÖ¹æ"
+.BI "-D, --delete " "チェイン ルール番号"
.\"O Delete one or more rules from the selected chain. There are two
.\"O versions of this command: the rule can be specified as a number in the
.\"O chain (starting at 1 for the first rule) or a rule to match.
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤«¤é 1 ¤Ä°Ê¾å¤Î¥ë¡¼¥ë¤òºï½ü¤¹¤ë¡£
-¤³¤Î¥³¥Þ¥ó¥É¤Ë¤Ï 2 ¤Ä¤Î»È¤¤Êý¤¬¤¢¤ë:
-¥Á¥§¥¤¥ó¤ÎÃæ¤ÎÈÖ¹æ (ºÇ½é¤Î¥ë¡¼¥ë¤ò 1 ¤È¤¹¤ë) ¤ò»ØÄꤹ¤ë¾ì¹ç¤È¡¢
-¥Þ¥Ã¥Á¤¹¤ë¥ë¡¼¥ë¤ò»ØÄꤹ¤ë¾ì¹ç¤Ç¤¢¤ë¡£
+選択されたチェインから 1 つ以上のルールを削除する。
+このコマンドには 2 つの使い方がある:
+チェインの中の番号 (最初のルールを 1 とする) を指定する場合と、
+マッチするルールを指定する場合である。
.TP
.\"O .BR "-I, --insert " "\fIchain\fP [\fIrulenum\fP] \fIrule-specification\fP"
-.BR "-I, --insert " "\fI¥Á¥§¥¤¥ó\fP [\fI¥ë¡¼¥ëÈÖ¹æ\fP] \fI¥ë¡¼¥ë¤Î¾ÜºÙ"
+.BR "-I, --insert " "\fIチェイン\fP [\fIルール番号\fP] \fIルールの詳細"
.\"O Insert one or more rules in the selected chain as the given rule
.\"O number. So, if the rule number is 1, the rule or rules are inserted
.\"O at the head of the chain. This is also the default if no rule number
.\"O is specified.
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤Ë¥ë¡¼¥ëÈÖ¹æ¤ò»ØÄꤷ¤Æ 1 ¤Ä°Ê¾å¤Î¥ë¡¼¥ë¤òÁÞÆþ¤¹¤ë¡£
-¥ë¡¼¥ëÈֹ椬 1 ¤Î¾ì¹ç¡¢¥ë¡¼¥ë¤Ï¥Á¥§¥¤¥ó¤ÎÀèƬ¤ËÁÞÆþ¤µ¤ì¤ë¡£
-¤³¤ì¤Ï¥ë¡¼¥ëÈֹ椬»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¤Î¥Ç¥Õ¥©¥ë¥È¤Ç¤â¤¢¤ë¡£
+選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。
+ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。
+これはルール番号が指定されない場合のデフォルトでもある。
.TP
.\"O .BI "-R, --replace " "chain rulenum rule-specification"
-.BI "-R, --replace " "¥Á¥§¥¤¥ó ¥ë¡¼¥ëÈÖ¹æ ¥ë¡¼¥ë¤Î¾ÜºÙ"
+.BI "-R, --replace " "チェイン ルール番号 ルールの詳細"
.\"O Replace a rule in the selected chain. If the source and/or
.\"O destination names resolve to multiple addresses, the command will
.\"O fail. Rules are numbered starting at 1.
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤Ç¥ë¡¼¥ë¤òÃÖ´¹¤¹¤ë¡£
-Á÷¿®¸µ¤äÁ÷¿®Àè¤Î̾Á°¤¬ 1 ¤Ä°Ê¾å¤Î¥¢¥É¥ì¥¹¤Ë²ò·è¤µ¤ì¤¿¾ì¹ç¤Ï¡¢
-¤³¤Î¥³¥Þ¥ó¥É¤Ï¼ºÇÔ¤¹¤ë¡£¥ë¡¼¥ëÈÖ¹æ¤Ï 1 ¤«¤é¤Ï¤¸¤Þ¤ë¡£
+選択されたチェインでルールを置換する。
+送信元や送信先の名前が 1 つ以上のアドレスに解決された場合は、
+このコマンドは失敗する。ルール番号は 1 からはじまる。
.TP
.\"O .BR "-L, --list " "[\fIchain\fP]"
-.BR "-L, --list " "[\fI¥Á¥§¥¤¥ó\fP]"
+.BR "-L, --list " "[\fIチェイン\fP]"
.\"O List all rules in the selected chain. If no chain is selected, all
.\"O chains are listed. As every other iptables command, it applies to the
.\"O specified table (filter is the default), so NAT rules get listed by
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤Ë¤¢¤ëÁ´¤Æ¤Î¥ë¡¼¥ë¤ò°ìÍ÷ɽ¼¨¤¹¤ë¡£
-¥Á¥§¥¤¥ó¤¬»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¡¢Á´¤Æ¤Î¥Á¥§¥¤¥ó¤Ë¤¢¤ë¥ê¥¹¥È¤¬°ìÍ÷ɽ¼¨¤µ¤ì¤ë¡£
-¾¤Î³Æ iptables ¥³¥Þ¥ó¥É¤ÈƱÍͤˡ¢»ØÄꤵ¤ì¤¿¥Æ¡¼¥Ö¥ë
-(¥Ç¥Õ¥©¥ë¥È¤Ï filter) ¤ËÂФ·¤ÆºîÍѤ¹¤ë¡£
-¤è¤Ã¤Æ NAT ¥ë¡¼¥ë¤òɽ¼¨¤¹¤ë¤Ë¤Ï°Ê²¼¤Î¤è¤¦¤Ë¤¹¤ë¡£
+選択されたチェインにある全てのルールを一覧表示する。
+チェインが指定されない場合、全てのチェインにあるリストが一覧表示される。
+他の各 iptables コマンドと同様に、指定されたテーブル
+(デフォルトは filter) に対して作用する。
+よって NAT ルールを表示するには以下のようにする。
.nf
iptables -t nat -n -L
.fi
.\"O Please note that it is often used with the
.\"O .B -n
.\"O option, in order to avoid long reverse DNS lookups.
-DNS¤ÎµÕ°ú¤¤òÈò¤±¤ë¤¿¤á¤Ë¡¢¤è¤¯
+DNSの逆引きを避けるために、よく
.B -n
-¥ª¥×¥·¥ç¥ó¤È¶¦¤Ë»ÈÍѤµ¤ì¤ë¡£
+オプションと共に使用される。
.\"O It is legal to specify the
.\"O .B -Z
.\"O (zero) option as well, in which case the chain(s) will be atomically
.\"O iptables -L -v
.\"O .br
.B -Z
-(¥¼¥í²½) ¥ª¥×¥·¥ç¥ó¤òƱ»þ¤Ë»ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë¡£
-¤³¤Î¾ì¹ç¡¢¥Á¥§¥¤¥ó¤ÏÍ×ÁÇËè¤Ë¥ê¥¹¥È¤µ¤ì¤Æ¡¢
-(ÌõÃð: ¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤¬) ¥¼¥í¤Ë¤µ¤ì¤ë¡£
-½ÐÎÏɽ¼¨¤ÏƱ»þ¤ËÍ¿¤¨¤é¤ì¤¿Â¾¤Î°ú¤¿ô¤Ë±Æ¶Á¤µ¤ì¤ë¡£
+(ゼロ化) オプションを同時に指定することもできる。
+この場合、チェインは要素毎にリストされて、
+(訳註: パケットカウンタとバイトカウンタが) ゼロにされる。
+出力表示は同時に与えられた他の引き数に影響される。
.nf
iptables -L -v
.fi
-¤ò»È¤ï¤Ê¤¤¸Â¤ê (ÌõÃí: -v ¥ª¥×¥·¥ç¥ó¤ò»ØÄꤷ¤Ê¤¤¸Â¤ê)¡¢
-¼ÂºÝ¤Î¥ë¡¼¥ë¤½¤Î¤â¤Î¤Ïɽ¼¨¤µ¤ì¤Ê¤¤¡£
+を使わない限り (訳注: -v オプションを指定しない限り)、
+実際のルールそのものは表示されない。
.TP
.\"O .BR "-F, --flush " "[\fIchain\fP]"
-.BR "-F, --flush " "[\fI¥Á¥§¥¤¥ó\fP]"
+.BR "-F, --flush " "[\fIチェイン\fP]"
.\"O Flush the selected chain (all the chains in the table if none is given).
.\"O This is equivalent to deleting all the rules one by one.
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó(²¿¤â»ØÄꤷ¤Ê¤±¤ì¤Ð¥Æ¡¼¥Ö¥ëÆâ¤ÎÁ´¤Æ¤Î¥Á¥§¥¤¥ó)
-¤ÎÆâÍƤòÁ´¾Ãµî¤¹¤ë¡£
-¤³¤ì¤ÏÁ´¤Æ¤Î¥ë¡¼¥ë¤ò 1 ¸Ä¤º¤Äºï½ü¤¹¤ë¤Î¤ÈƱ¤¸¤Ç¤¢¤ë¡£
+選択されたチェイン(何も指定しなければテーブル内の全てのチェイン)
+の内容を全消去する。
+これは全てのルールを 1 個ずつ削除するのと同じである。
.TP
.\"O .BR "-Z, --zero " "[\fIchain\fP]"
-.BR "-Z, --zero " "[\fI¥Á¥§¥¤¥ó\fP]"
+.BR "-Z, --zero " "[\fIチェイン\fP]"
.\"O Zero the packet and byte counters in all chains. It is legal to
.\"O specify the
.\"O .B "-L, --list"
.\"O (list) option as well, to see the counters immediately before they are
.\"O cleared. (See above.)
-¤¹¤Ù¤Æ¤Î¥Á¥§¥¤¥ó¤Î¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤ò¥¼¥í¤Ë¤¹¤ë¡£
-¥¯¥ê¥¢¤µ¤ì¤ëľÁ°¤Î¥«¥¦¥ó¥¿¤ò¸«¤ë¤¿¤á¤Ë¡¢
+すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。
+クリアされる直前のカウンタを見るために、
.B "-L, --list"
-(°ìÍ÷ɽ¼¨) ¥ª¥×¥·¥ç¥ó¤ÈƱ»þ¤Ë»ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë (¾åµ¤ò»²¾È)¡£
+(一覧表示) オプションと同時に指定することもできる (上記を参照)。
.TP
.\"O .BI "-N, --new-chain " "chain"
-.BI "-N, --new-chain " "¥Á¥§¥¤¥ó"
+.BI "-N, --new-chain " "チェイン"
.\"O Create a new user-defined chain by the given name. There must be no
.\"O target of that name already.
-»ØÄꤷ¤¿Ì¾Á°¤Ç¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤òºîÀ®¤¹¤ë¡£
-Ʊ¤¸Ì¾Á°¤Î¥¿¡¼¥²¥Ã¥È¤¬´û¤Ë¸ºß¤·¤Æ¤Ï¤Ê¤é¤Ê¤¤¡£
+指定した名前でユーザー定義チェインを作成する。
+同じ名前のターゲットが既に存在してはならない。
.TP
.\"O .BR "-X, --delete-chain " "[\fIchain\fP]"
-.BR "-X, --delete-chain " "[\fI¥Á¥§¥¤¥ó\fP]"
+.BR "-X, --delete-chain " "[\fIチェイン\fP]"
.\"O Delete the optional user-defined chain specified. There must be no references
.\"O to the chain. If there are, you must delete or replace the referring
.\"O rules before the chain can be deleted. If no argument is given, it
.\"O will attempt to delete every non-builtin chain in the table.
-»ØÄꤷ¤¿¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤òºï½ü¤¹¤ë¡£
-¤½¤Î¥Á¥§¥¤¥ó¤¬»²¾È¤µ¤ì¤Æ¤¤¤Æ¤Ï¤Ê¤é¤Ê¤¤¡£
-¥Á¥§¥¤¥ó¤òºï½ü¤¹¤ëÁ°¤Ë¡¢¤½¤Î¥Á¥§¥¤¥ó¤ò»²¾È¤·¤Æ¤¤¤ë¥ë¡¼¥ë¤ò
-ºï½ü¤¹¤ë¤«ÃÖ¤´¹¤¨¤ë¤«¤·¤Ê¤±¤ì¤Ð¤Ê¤é¤Ê¤¤¡£
-°ú¤¿ô¤¬Í¿¤¨¤é¤ì¤Ê¤¤¾ì¹ç¡¢¥Æ¡¼¥Ö¥ë¤Ë¤¢¤ë¥Á¥§¥¤¥ó¤Î¤¦¤Á
-ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤Ç¤Ê¤¤¤â¤Î¤òÁ´¤Æºï½ü¤¹¤ë¡£
+指定したユーザー定義チェインを削除する。
+そのチェインが参照されていてはならない。
+チェインを削除する前に、そのチェインを参照しているルールを
+削除するか置き換えるかしなければならない。
+引き数が与えられない場合、テーブルにあるチェインのうち
+組み込み済みチェインでないものを全て削除する。
.TP
.\"O .BI "-P, --policy " "chain target"
-.BI "-P, --policy " "¥Á¥§¥¤¥ó ¥¿¡¼¥²¥Ã¥È"
+.BI "-P, --policy " "チェイン ターゲット"
.\"O Set the policy for the chain to the given target. See the section
.\"O .B TARGETS
.\"O for the legal targets. Only built-in (non-user-defined) chains can have
.\"O policies, and neither built-in nor user-defined chains can be policy
.\"O targets.
-¥Á¥§¥¤¥ó¤Î¥Ý¥ê¥·¡¼¤ò¡¢»ØÄꤷ¤¿¥¿¡¼¥²¥Ã¥È¤ËÀßÄꤹ¤ë¡£
-»ØÄê²Äǽ¤Ê¥¿¡¼¥²¥Ã¥È¤Ï¡Ö\fB¥¿¡¼¥²¥Ã¥È\fR¡×¤Î¾Ï¤ò»²¾È¤¹¤ë¤³¤È¡£
-(¥æ¡¼¥¶¡¼ÄêµÁ¤Ç¤Ï¤Ê¤¤)ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤Ë¤·¤«¥Ý¥ê¥·¡¼¤ÏÀßÄê¤Ç¤¤Ê¤¤¡£
-¤Þ¤¿¡¢ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤â¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤â
-¥Ý¥ê¥·¡¼¤Î¥¿¡¼¥²¥Ã¥È¤ËÀßÄꤹ¤ë¤³¤È¤Ï¤Ç¤¤Ê¤¤¡£
+チェインのポリシーを、指定したターゲットに設定する。
+指定可能なターゲットは「\fBターゲット\fR」の章を参照すること。
+(ユーザー定義ではない)組み込み済みチェインにしかポリシーは設定できない。
+また、組み込み済みチェインもユーザー定義チェインも
+ポリシーのターゲットに設定することはできない。
.TP
.\"O .BI "-E, --rename-chain " "old-chain new-chain"
-.BI "-E, --rename-chain " "µì¥Á¥§¥¤¥ó̾ ¿·¥Á¥§¥¤¥ó̾"
+.BI "-E, --rename-chain " "旧チェイン名 新チェイン名"
.\"O Rename the user specified chain to the user supplied name. This is
.\"O cosmetic, and has no effect on the structure of the table.
-¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤ò»ØÄꤷ¤¿Ì¾Á°¤ËÊѹ¹¤¹¤ë¡£
-¤³¤ì¤Ï¸«¤¿ÌܤÀ¤±¤ÎÊѹ¹¤Ê¤Î¤Ç¡¢¥Æ¡¼¥Ö¥ë¤Î¹½Â¤¤Ë¤Ï²¿¤â±Æ¶Á¤·¤Ê¤¤¡£
+ユーザー定義チェインを指定した名前に変更する。
+これは見た目だけの変更なので、テーブルの構造には何も影響しない。
.TP
.B -h
.\"O Help.
.\"O Give a (currently very brief) description of the command syntax.
-¥Ø¥ë¥×¡£
-(º£¤Î¤È¤³¤í¤Ï¤È¤Æ¤â´Êñ¤Ê) ¥³¥Þ¥ó¥É½ñ¼°¤ÎÀâÌÀ¤òɽ¼¨¤¹¤ë¡£
+ヘルプ。
+(今のところはとても簡単な) コマンド書式の説明を表示する。
.\"O .SS PARAMETERS
-.SS ¥Ñ¥é¥á¡¼¥¿
+.SS ã\83\91ã\83©ã\83¡ã\83¼ã\82¿
.\"O The following parameters make up a rule specification (as used in the
.\"O add, delete, insert, replace and append commands).
-°Ê²¼¤Î¥Ñ¥é¥á¡¼¥¿¤Ï (add, delete, insert,
-replace, append ¥³¥Þ¥ó¥É¤ÇÍѤ¤¤é¤ì¤Æ) ¥ë¡¼¥ë¤Î»ÅÍͤò·è¤á¤ë¡£
+以下のパラメータは (add, delete, insert,
+replace, append コマンドで用いられて) ルールの仕様を決める。
.TP
.BR "-p, --protocol " "[!] \fIprotocol\fP"
.\"O The protocol of the rule or of the packet to check.
.\"O .IR all ,
.\"O or it can be a numeric value, representing one of these protocols or a
.\"O different one. A protocol name from /etc/protocols is also allowed.
-¥ë¡¼¥ë¤Ç»È¤ï¤ì¤ë¥×¥í¥È¥³¥ë¡¢¤Þ¤¿¤Ï¥Á¥§¥Ã¥¯¤µ¤ì¤ë¥Ñ¥±¥Ã¥È¤Î¥×¥í¥È¥³¥ë¡£
-»ØÄê¤Ç¤¤ë¥×¥í¥È¥³¥ë¤Ï¡¢
+ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。
+指定できるプロトコルは、
.IR tcp ,
.IR udp ,
.IR icmp ,
.I all
-¤Î¤¤¤º¤ì¤« 1 ¤Ä¤«¡¢¿ôÃͤǤ¢¤ë¡£
-¿ôÃͤˤϡ¢¤³¤ì¤é¤Î¥×¥í¥È¥³¥ë¤Î¤É¤ì¤«¤Ê¤¤¤·Ê̤Υץí¥È¥³¥ë¤òɽ¤¹
-¿ôÃͤò»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-/etc/protocols ¤Ë¤¢¤ë¥×¥í¥È¥³¥ë̾¤â»ØÄê¤Ç¤¤ë¡£
+のいずれか 1 つか、数値である。
+数値には、これらのプロトコルのどれかないし別のプロトコルを表す
+数値を指定することができる。
+/etc/protocols にあるプロトコル名も指定できる。
.\"O A "!" argument before the protocol inverts the
.\"O test. The number zero is equivalent to
.\"O .IR all .
.\"O .I all
.\"O will match with all protocols and is taken as default when this
.\"O option is omitted.
-¥×¥í¥È¥³¥ë¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢¤½¤Î¥×¥í¥È¥³¥ë¤ò½ü³°¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ë¤Ê¤ë¡£
-¿ôÃÍ 0 ¤Ï
+プロトコルの前に "!" を置くと、そのプロトコルを除外するという意味になる。
+数値 0 は
.I all
-¤ÈÅù¤·¤¤¡£
-¥×¥í¥È¥³¥ë
+と等しい。
+プロトコル
.I all
-¤ÏÁ´¤Æ¤Î¥×¥í¥È¥³¥ë¤È¥Þ¥Ã¥Á¤·¡¢
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¾Êά¤µ¤ì¤¿ºÝ¤Î¥Ç¥Õ¥©¥ë¥È¤Ç¤¢¤ë¡£
+は全てのプロトコルとマッチし、
+このオプションが省略された際のデフォルトである。
.TP
.BR "-s, --source " "[!] \fIaddress\fP[/\fImask\fP]"
.\"O Source specification.
.\"O can be either a network name, a hostname (please note that specifying
.\"O any name to be resolved with a remote query such as DNS is a really bad idea),
.\"O a network IP address (with /mask), or a plain IP address.
-Á÷¿®¸µ¤Î»ØÄê¡£
+送信元の指定。
.I address
-¤Ï¥Û¥¹¥È̾
-(DNS ¤Î¤è¤¦¤Ê¥ê¥â¡¼¥È¤Ø¤ÎÌ䤤¹ç¤ï¤»¤Ç²ò·è¤¹¤ë̾Á°¤ò»ØÄꤹ¤ë¤Î¤ÏÈó¾ï¤ËÎɤ¯¤Ê¤¤)
-¡¦¥Í¥Ã¥È¥ï¡¼¥¯ IP ¥¢¥É¥ì¥¹ (/mask ¤ò»ØÄꤹ¤ë)¡¦
-Ä̾ï¤Î IP ¥¢¥É¥ì¥¹¡¢¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ë¡£
+はホスト名
+(DNS のようなリモートへの問い合わせで解決する名前を指定するのは非常に良くない)
+・ネットワーク IP アドレス (/mask を指定する)・
+通常の IP アドレス、のいずれかである。
.\"O The
.\"O .I mask
.\"O can be either a network mask or a plain number,
.\"O specifying the number of 1's at the left side of the network mask.
.I mask
-¤Ï¥Í¥Ã¥È¥ï¡¼¥¯¥Þ¥¹¥¯¤«¡¢
-¥Í¥Ã¥È¥ï¡¼¥¯¥Þ¥¹¥¯¤Îº¸Â¦¤Ë¤¢¤ë 1 ¤Î¿ô¤ò»ØÄꤹ¤ë¿ôÃͤǤ¢¤ë¡£
+はネットワークマスクか、
+ネットワークマスクの左側にある 1 の数を指定する数値である。
.\"O Thus, a mask of
.\"O .I 24
.\"O is equivalent to
.\"O .IR 255.255.255.0 .
-¤Ä¤Þ¤ê¡¢
+つまり、
.I 24
-¤È¤¤¤¦ mask ¤Ï
+という mask は
.I 255.255.255.0
-¤ËÅù¤·¤¤¡£
+に等しい。
.\"O A "!" argument before the address specification inverts the sense of
.\"O the address. The flag
.\"O .B --src
.\"O is an alias for this option.
-¥¢¥É¥ì¥¹»ØÄê¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢¤½¤Î¥¢¥É¥ì¥¹¤ò½ü³°¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ë¤Ê¤ë¡£
-¥Õ¥é¥°
+アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。
+ã\83\95ã\83©ã\82°
.B --src
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの別名である。
.TP
.BR "-d, --destination " "[!] \fIaddress\fP[/\fImask\fP]"
.\"O Destination specification.
.\"O (source) flag for a detailed description of the syntax. The flag
.\"O .B --dst
.\"O is an alias for this option.
-Á÷¿®Àè¤Î»ØÄê¡£
-½ñ¼°¤Î¾Ü¤·¤¤ÀâÌÀ¤Ë¤Ä¤¤¤Æ¤Ï¡¢
+送信先の指定。
+書式の詳しい説明については、
.B -s
-(Á÷¿®¸µ) ¥Õ¥é¥°¤ÎÀâÌÀ¤ò»²¾È¤¹¤ë¤³¤È¡£
-¥Õ¥é¥°
+(送信元) フラグの説明を参照すること。
+ã\83\95ã\83©ã\82°
.B --dst
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの別名である。
.TP
.BI "-j, --jump " "target"
.\"O This specifies the target of the rule; i.e., what to do if the packet
.\"O option is omitted in a rule, then matching the rule will have no
.\"O effect on the packet's fate, but the counters on the rule will be
.\"O incremented.
-¥ë¡¼¥ë¤Î¥¿¡¼¥²¥Ã¥È¡¢¤Ä¤Þ¤ê¡¢
-¥Ñ¥±¥Ã¥È¤¬¥Þ¥Ã¥Á¤·¤¿¾ì¹ç¤Ë¤É¤¦¤¹¤ë¤«¤ò»ØÄꤹ¤ë¡£
-¥¿¡¼¥²¥Ã¥È¤Ï¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó
-(¤½¤Î¥ë¡¼¥ë¼«¿È¤¬Æþ¤Ã¤Æ¤¤¤ë¥Á¥§¥¤¥ó°Ê³°) ¤Ç¤â¡¢
-¥Ñ¥±¥Ã¥È¤Î¹ÔÊý¤ò¨»þ¤Ë·èÄꤹ¤ëÆÃÊ̤ÊÁȤ߹þ¤ßºÑ¤ß¥¿¡¼¥²¥Ã¥È¤Ç¤â¡¢
-³ÈÄ¥¤µ¤ì¤¿¥¿¡¼¥²¥Ã¥È (°Ê²¼¤Î
-.RB ¡Ö ¥¿¡¼¥²¥Ã¥È¤Î³ÈÄ¥ ¡×
-¤ò»²¾È) ¤Ç¤â¤è¤¤¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¥ë¡¼¥ë¤Ë»ØÄꤵ¤ì¤Ê¤«¤Ã¤¿¾ì¹ç¤Ï¡¢
-¥ë¡¼¥ë¤Ë¥Þ¥Ã¥Á¤·¤Æ¤â¥Ñ¥±¥Ã¥È¤Î¹ÔÊý¤Ë²¿¤â±Æ¶Á¤·¤Ê¤¤¤¬¡¢
-¥ë¡¼¥ë¤Î¥«¥¦¥ó¥¿¤Ï 1 ¤Ä²Ã»»¤µ¤ì¤ë¡£
+ルールのターゲット、つまり、
+パケットがマッチした場合にどうするかを指定する。
+ターゲットはユーザー定義チェイン
+(そのルール自身が入っているチェイン以外) でも、
+パケットの行方を即時に決定する特別な組み込み済みターゲットでも、
+拡張されたターゲット (以下の
+.RB 「 ターゲットの拡張 」
+を参照) でもよい。
+このオプションがルールに指定されなかった場合は、
+ルールにマッチしてもパケットの行方に何も影響しないが、
+ルールのカウンタは 1 つ加算される。
.TP
.BR "-i, --in-interface " "[!] \fIname\fP"
.\"O Name of an interface via which a packet is going to be received (only for
.\"O and
.\"O .B PREROUTING
.\"O chains).
-¥Ñ¥±¥Ã¥È¤ò¼õ¿®¤¹¤ë¤³¤È¤Ë¤Ê¤ë¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾
+パケットを受信することになるインターフェース名
.RB ( INPUT ,
.BR FORWARD ,
.B PREROUTING
-¥Á¥§¥¤¥ó¤ËÆþ¤ë¥Ñ¥±¥Ã¥È¤Î¤ß)¡£
+チェインに入るパケットのみ)。
.\"O When the "!" argument is used before the interface name, the
.\"O sense is inverted. If the interface name ends in a "+", then any
.\"O interface which begins with this name will match. If this option is
.\"O omitted, any interface name will match.
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢
-¤½¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ò½ü³°¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ë¤Ê¤ë¡£
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤¬ "+" ¤Ç½ª¤Ã¤Æ¤¤¤ë¾ì¹ç¡¢
-¤½¤Î̾Á°¤Ç»Ï¤Þ¤ëǤ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¾Êά¤µ¤ì¤¿¾ì¹ç¡¢
-Ǥ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+インターフェース名の前に "!" を置くと、
+そのインターフェースを除外するという意味になる。
+インターフェース名が "+" で終っている場合、
+その名前で始まる任意のインターフェース名にマッチする。
+このオプションが省略された場合、
+任意のインターフェース名にマッチする。
.TP
.BR "-o, --out-interface " "[!] \fIname\fP"
.\"O Name of an interface via which a packet is going to be sent (for packets
.\"O and
.\"O .B POSTROUTING
.\"O chains).
-¥Ñ¥±¥Ã¥È¤òÁ÷¿®¤¹¤ë¤³¤È¤Ë¤Ê¤ë¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾
+パケットを送信することになるインターフェース名
.RB ( FORWARD ,
.BR OUTPUT ,
.B POSTROUTING
-¥Á¥§¥¤¥ó¤ËÆþ¤ë¥Ñ¥±¥Ã¥È¤Î¤ß)¡£
+チェインに入るパケットのみ)。
.\"O When the "!" argument is used before the interface name, the
.\"O sense is inverted. If the interface name ends in a "+", then any
.\"O interface which begins with this name will match. If this option is
.\"O omitted, any interface name will match.
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢
-¤½¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ò½ü³°¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ë¤Ê¤ë¡£
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤¬ "+" ¤Ç½ª¤Ã¤Æ¤¤¤ë¾ì¹ç¡¢
-¤½¤Î̾Á°¤Ç»Ï¤Þ¤ëǤ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¾Êά¤µ¤ì¤¿¾ì¹ç¡¢
-Ǥ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+インターフェース名の前に "!" を置くと、
+そのインターフェースを除外するという意味になる。
+インターフェース名が "+" で終っている場合、
+その名前で始まる任意のインターフェース名にマッチする。
+このオプションが省略された場合、
+任意のインターフェース名にマッチする。
.TP
.B "[!] " "-f, --fragment"
.\"O This means that the rule only refers to second and further fragments
.\"O not match any rules which specify them. When the "!" argument
.\"O precedes the "-f" flag, the rule will only match head fragments, or
.\"O unfragmented packets.
-¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢Ê¬³ä¤µ¤ì¤¿¥Ñ¥±¥Ã¥È (fragmented packet) ¤Î¤¦¤Á
-2 ÈÖÌܰʹߤΥѥ±¥Ã¥È¤À¤±¤ò»²¾È¤¹¤ë¥ë¡¼¥ë¤Ç¤¢¤ë¤³¤È¤ò°ÕÌ£¤¹¤ë¡£
-¤³¤Î¤è¤¦¤Ê¥Ñ¥±¥Ã¥È (¤Þ¤¿¤Ï ICMP ¥¿¥¤¥×¤Î¥Ñ¥±¥Ã¥È) ¤Ï
-Á÷¿®¸µ¡¦Á÷¿®Àè¥Ý¡¼¥È¤òÃΤëÊýË¡¤¬¤Ê¤¤¤Î¤Ç¡¢
-Á÷¿®¸µ¤äÁ÷¿®Àè¤ò»ØÄꤹ¤ë¤è¤¦¤Ê¥ë¡¼¥ë¤Ë¤Ï¥Þ¥Ã¥Á¤·¤Ê¤¤¡£
-"-f" ¥Õ¥é¥°¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢
-ʬ³ä¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤Î¤¦¤ÁºÇ½é¤Î¤â¤Î¤«¡¢
-ʬ³ä¤µ¤ì¤Æ¤¤¤Ê¤¤¥Ñ¥±¥Ã¥È¤À¤±¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+このオプションは、分割されたパケット (fragmented packet) のうち
+2 番目以降のパケットだけを参照するルールであることを意味する。
+このようなパケット (または ICMP タイプのパケット) は
+送信元・送信先ポートを知る方法がないので、
+送信元や送信先を指定するようなルールにはマッチしない。
+"-f" フラグの前に "!" を置くと、
+分割されたパケットのうち最初のものか、
+分割されていないパケットだけにマッチする。
.TP
.BI "-c, --set-counters " "PKTS BYTES"
.\"O This enables the administrator to initialize the packet and byte
.\"O .B APPEND,
.\"O .B REPLACE
.\"O operations).
-¤³¤Î¥ª¥×¥·¥ç¥ó¤ò»È¤¦¤È¡¢
+このオプションを使うと、
.RB ( insert ,
.BR append ,
.B replace
-Áàºî¤Ë¤ª¤¤¤Æ) ´ÉÍý¼Ô¤Ï¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤ò
-½é´ü²½¤¹¤ë¤³¤È¤¬¤Ç¤¤ë¡£
+操作において) 管理者はパケットカウンタとバイトカウンタを
+初期化することができる。
.\"O .SS "OTHER OPTIONS"
-.SS ¤½¤Î¾¤Î¥ª¥×¥·¥ç¥ó
+.SS その他のオプション
.\"O The following additional options can be specified:
-¤½¤Î¾¤Ë°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤ò»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë:
+その他に以下のオプションを指定することができる:
.TP
.B "-v, --verbose"
.\"O Verbose output. This option makes the list command show the interface
.\"O flag to change this).
.\"O For appending, insertion, deletion and replacement, this causes
.\"O detailed information on the rule or rules to be printed.
-¾ÜºÙ¤Ê½ÐÎϤò¹Ô¤¦¡£
-list ¥³¥Þ¥ó¥É¤ÎºÝ¤Ë¡¢¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¡¦
-(¤â¤·¤¢¤ì¤Ð) ¥ë¡¼¥ë¤Î¥ª¥×¥·¥ç¥ó¡¦TOS ¥Þ¥¹¥¯¤òɽ¼¨¤µ¤»¤ë¡£
-¥Ñ¥±¥Ã¥È¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤âɽ¼¨¤µ¤ì¤ë¡£
-ź»ú 'K', 'M', 'G' ¤Ï¡¢
-¤½¤ì¤¾¤ì 1000, 1,000,000, 1,000,000,000 Çܤòɽ¤¹
-(¤³¤ì¤òÊѹ¹¤¹¤ë
+詳細な出力を行う。
+list コマンドの際に、インターフェース名・
+(もしあれば) ルールのオプション・TOS マスクを表示させる。
+パケットとバイトカウンタも表示される。
+添字 'K', 'M', 'G' は、
+それぞれ 1000, 1,000,000, 1,000,000,000 倍を表す
+(これを変更する
.B -x
-¥Õ¥é¥°¤â¸«¤è)¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤ò append, insert, delete, replace ¥³¥Þ¥ó¥É¤ËŬÍѤ¹¤ë¤È¡¢
-¥ë¡¼¥ë¤Ë¤Ä¤¤¤Æ¤Î¾ÜºÙ¤Ê¾ðÊó¤òɽ¼¨¤¹¤ë¡£
+フラグも見よ)。
+このオプションを append, insert, delete, replace コマンドに適用すると、
+ルールについての詳細な情報を表示する。
.TP
.B "-n, --numeric"
.\"O Numeric output.
.\"O IP addresses and port numbers will be printed in numeric format.
.\"O By default, the program will try to display them as host names,
.\"O network names, or services (whenever applicable).
-¿ôÃͤˤè¤ë½ÐÎϤò¹Ô¤¦¡£
-IP ¥¢¥É¥ì¥¹¤ä¥Ý¡¼¥ÈÈÖ¹æ¤ò¿ôÃͤˤè¤ë¥Õ¥©¡¼¥Þ¥Ã¥È¤Çɽ¼¨¤¹¤ë¡£
-¥Ç¥Õ¥©¥ë¥È¤Ç¤Ï¡¢iptables ¤Ï (²Äǽ¤Ç¤¢¤ì¤Ð) ¤³¤ì¤é¤Î¾ðÊó¤ò
-¥Û¥¹¥È̾¡¦¥Í¥Ã¥È¥ï¡¼¥¯Ì¾¡¦¥µ¡¼¥Ó¥¹Ì¾¤Çɽ¼¨¤·¤è¤¦¤È¤¹¤ë¡£
+数値による出力を行う。
+IP アドレスやポート番号を数値によるフォーマットで表示する。
+デフォルトでは、iptables は (可能であれば) これらの情報を
+ホスト名・ネットワーク名・サービス名で表示しようとする。
.TP
.B "-x, --exact"
.\"O Expand numbers.
.\"O only relevant for the
.\"O .B -L
.\"O command.
-¸·Ì©¤Ê¿ôÃͤÇɽ¼¨¤¹¤ë¡£
-¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤ò¡¢
-K (1000 ¤Î²¿Çܤ«)¡¦M (1000K ¤Î²¿Çܤ«)¡¦G (1000M ¤Î²¿Çܤ«) ¤Ç¤Ï¤Ê¤¯¡¢
-¸·Ì©¤ÊÃͤÇɽ¼¨¤¹¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢
+厳密な数値で表示する。
+パケットカウンタとバイトカウンタを、
+K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か) ではなく、
+厳密な値で表示する。
+このオプションは、
.B -L
-¥³¥Þ¥ó¥É¤È¤·¤«´Ø·¸¤·¤Ê¤¤¡£
+コマンドとしか関係しない。
.TP
.B "--line-numbers"
.\"O When listing rules, add line numbers to the beginning of each rule,
.\"O corresponding to that rule's position in the chain.
-¥ë¡¼¥ë¤ò°ìÍ÷ɽ¼¨¤¹¤ëºÝ¡¢¤½¤Î¥ë¡¼¥ë¤¬¥Á¥§¥¤¥ó¤Î¤É¤Î°ÌÃ֤ˤ¢¤ë¤«¤òɽ¤¹
-¹ÔÈÖ¹æ¤ò³Æ¹Ô¤Î»Ï¤á¤ËÉղ乤롣
+ルールを一覧表示する際、そのルールがチェインのどの位置にあるかを表す
+行番号を各行の始めに付加する。
.TP
.B "--modprobe=command"
.\"O When adding or inserting rules into a chain, use
.\"O .B command
.\"O to load any necessary modules (targets, match extensions, etc).
-¥Á¥§¥¤¥ó¤Ë¥ë¡¼¥ë¤òÄɲäޤ¿¤ÏÁÞÆþ¤¹¤ëºÝ¤Ë¡¢
-(¥¿¡¼¥²¥Ã¥È¤ä¥Þ¥Ã¥Á¥ó¥°¤Î³ÈÄ¥¤Ê¤É¤Ç) ɬÍפʥ⥸¥å¡¼¥ë¤ò¥í¡¼¥É¤¹¤ë¤¿¤á¤Ë»È¤¦
+チェインにルールを追加または挿入する際に、
+(ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う
.B command
-¤ò»ØÄꤹ¤ë¡£
+を指定する。
.\"O .SH MATCH EXTENSIONS
-.SH ¥Þ¥Ã¥Á¥ó¥°¤Î³ÈÄ¥
+.SH マッチングの拡張
.\"O iptables can use extended packet matching modules. These are loaded
.\"O in two ways: implicitly, when
.\"O .B -p
.\"O or
.\"O .B --match
.\"O options, followed by the matching module name;
-iptables ¤Ï³ÈÄ¥¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¥Þ¥Ã¥Á¥ó¥°¥â¥¸¥å¡¼¥ë¤ò»È¤¦¤³¤È¤¬¤Ç¤¤ë¡£
-¤³¤ì¤é¤Î¥â¥¸¥å¡¼¥ë¤Ï 2 ¼ïÎà¤ÎÊýË¡¤Ç¥í¡¼¥É¤µ¤ì¤ë:
-¥â¥¸¥å¡¼¥ë¤Ï¡¢
+iptables は拡張されたパケットマッチングモジュールを使うことができる。
+これらのモジュールは 2 種類の方法でロードされる:
+モジュールは、
.B -p
-¤Þ¤¿¤Ï
+または
.B --protocol
-¤Ç°ÅÌۤΤ¦¤Á¤Ë»ØÄꤵ¤ì¤ë¤«¡¢
+で暗黙のうちに指定されるか、
.B -m
-¤Þ¤¿¤Ï
+または
.B --match
-¤Î¸å¤Ë¥â¥¸¥å¡¼¥ë̾¤ò³¤±¤Æ»ØÄꤵ¤ì¤ë¡£
+の後にモジュール名を続けて指定される。
.\"O after these, various
.\"O extra command line options become available, depending on the specific
.\"O module. You can specify multiple extended match modules in one line,
.\"O .B --help
.\"O options after the module has been specified to receive help specific
.\"O to that module.
-¤³¤ì¤é¤Î¥â¥¸¥å¡¼¥ë¤Î¸å¤í¤Ë¤Ï¡¢¥â¥¸¥å¡¼¥ë¤Ë±þ¤¸¤Æ
-¾¤Î¤¤¤í¤¤¤í¤Ê¥³¥Þ¥ó¥É¥é¥¤¥ó¥ª¥×¥·¥ç¥ó¤ò»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-Ê£¿ô¤Î³ÈÄ¥¥Þ¥Ã¥Á¥ó¥°¥â¥¸¥å¡¼¥ë¤ò°ì¹Ô¤Ç»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-¤Þ¤¿¡¢¥â¥¸¥å¡¼¥ë¤ËÆÃͤΥإë¥×¤òɽ¼¨¤µ¤»¤ë¤¿¤á¤Ë¤Ï¡¢
-¥â¥¸¥å¡¼¥ë¤ò»ØÄꤷ¤¿¸å¤Ç
+これらのモジュールの後ろには、モジュールに応じて
+他のいろいろなコマンドラインオプションを指定することができる。
+複数の拡張マッチングモジュールを一行で指定することができる。
+また、モジュールに特有のヘルプを表示させるためには、
+モジュールを指定した後で
.B -h
-¤Þ¤¿¤Ï
+または
.B --help
-¤ò»ØÄꤹ¤ì¤Ð¤è¤¤¡£
+を指定すればよい。
.\"O The following are included in the base package, and most of these can
.\"O be preceded by a
.\"O .B !
.\"O to invert the sense of the match.
-°Ê²¼¤Î³ÈÄ¥¤¬¥Ù¡¼¥¹¥Ñ¥Ã¥±¡¼¥¸¤Ë´Þ¤Þ¤ì¤Æ¤¤¤ë¡£
-ÂçÉôʬ¤Î¤â¤Î¤Ï¡¢
+以下の拡張がベースパッケージに含まれている。
+大部分のものは、
.B !
-¤òÁ°¤Ë¤ª¤¯¤³¤È¤Ë¤è¤Ã¤Æ
-¥Þ¥Ã¥Á¥ó¥°¤Î°ÕÌ£¤òµÕ¤Ë¤Ç¤¤ë¡£
+を前におくことによって
+マッチングの意味を逆にできる。
.SS ah
.\"O This module matches the SPIs in AH header of IPSec packets.
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï IPSec ¥Ñ¥±¥Ã¥È¤Î AH ¥Ø¥Ã¥À¡¼¤Î SPI Ãͤ˥ޥåÁ¤¹¤ë¡£
+このモジュールは IPSec パケットの AH ヘッダーの SPI 値にマッチする。
.TP
.BR "--ahspi " "[!] \fIspi\fP[:\fIspi\fP]"
.SS conntrack
.\"O more connection tracking information than the "state" match.
.\"O (this module is present only if iptables was compiled under a kernel
.\"O supporting this feature)
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢ÀܳÄÉÀ× (connection tracking) ¤ÈÁȤ߹ç¤ï¤»¤ÆÍѤ¤¤ë¤È¡¢
-"state" ¥Þ¥Ã¥Á¤è¤ê¤â¤µ¤é¤Ë¿¤¯¤Î¡¢
-¥Ñ¥±¥Ã¥È¤Ë¤Ä¤¤¤Æ¤ÎÀܳÄÉÀ×¾õÂÖ¤òÃΤ뤳¤È¤¬¤Ç¤¤ë
-(¤³¤Îµ¡Ç½¤ò¥µ¥Ý¡¼¥È¤·¤¿¥«¡¼¥Í¥ë¤Î¤â¤È¤Ç iptables ¤¬¥³¥ó¥Ñ¥¤¥ë¤µ¤ì¤¿¾ì¹ç
-¤Ë¤Î¤ß¡¢¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¸ºß¤¹¤ë)¡£
+このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、
+"state" マッチよりもさらに多くの、
+パケットについての接続追跡状態を知ることができる
+(この機能をサポートしたカーネルのもとで iptables がコンパイルされた場合
+にのみ、このモジュールは存在する)。
.TP
.BI "--ctstate " "state"
.\"O Where state is a comma separated list of the connection states to
.\"O .B ESTABLISHED
.\"O meaning that the packet is associated with a connection which has seen
.\"O packets in both directions,
-state ¤Ï¡¢¥Þ¥Ã¥Á¥ó¥°ÂоݤȤʤ롢¥³¥ó¥Þ¶èÀÚ¤ê¤ÎÀܳ¾õÂ֥ꥹ¥È¤Ç¤¢¤ë¡£
-»ØÄê²Äǽ¤Ê state ¤Ï°Ê²¼¤ÎÄ̤ꡣ
+state は、マッチング対象となる、コンマ区切りの接続状態リストである。
+指定可能な state は以下の通り。
.BR INVALID :
-¥á¥â¥ê¤ò»È¤¤²Ì¤¿¤·¤¿°Ù¤ä¡¢
-´ûÃΤÎÀܳ¤È¤ÏÂбþ¤·¤Ê¤¤ ICMP ¥¨¥é¡¼¤Ê¤É¡¢
-²¿¤é¤«¤ÎÍýͳ¤Ë¤è¤ê¥Ñ¥±¥Ã¥È¤¬¼±Ê̤Ǥ¤Ê¤¤¡£
+メモリを使い果たした為や、
+既知の接続とは対応しない ICMP エラーなど、
+何らかの理由によりパケットが識別できない。
.BR ESTABLISHED :
-¤³¤Î¥Ñ¥±¥Ã¥È¤Ï¡¢²áµîÁÐÊý¸þ¤Ë¥Ñ¥±¥Ã¥È¤¬¤ä¤ê¼è¤ê¤µ¤ì¤¿Àܳ¤Ë°¤¹¤ë¥Ñ¥±¥Ã¥È¤Ç¤¢¤ë¡£
+このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。
.\"O .B NEW
.\"O meaning that the packet has started a new connection, or otherwise
.\"O associated with a connection which has not seen packets in both
.\"O directions, and
.BR NEW :
-¤³¤Î¥Ñ¥±¥Ã¥È¤¬¿·¤·¤¤Àܳ¤ò³«»Ï¤·¤¿¤«¡¢
-ÁÐÊý¸þ¤Ë¤Ï¥Ñ¥±¥Ã¥È¤¬¤ä¤ê¼è¤ê¤µ¤ì¤Æ¤¤¤Ê¤¤Àܳ¤Ë°¤¹¤ë¥Ñ¥±¥Ã¥È¤Ç¤¢¤ë¡£
+このパケットが新しい接続を開始したか、
+双方向にはパケットがやり取りされていない接続に属するパケットである。
.\"O .B RELATED
.\"O meaning that the packet is starting a new connection, but is
.\"O associated with an existing connection, such as an FTP data transfer,
.\"O or an ICMP error.
.BR RELATED :
-¤³¤Î¥Ñ¥±¥Ã¥È¤¬¿·¤·¤¤Àܳ¤ò³«»Ï¤·¤Æ¤¤¤ë¤¬¡¢
-FTP ¥Ç¡¼¥¿Å¾Á÷¤ä ICMP ¥¨¥é¡¼¤Î¤è¤¦¤Ë¡¢´û¸¤ÎÀܳ¤Ë´Ø·¸¤·¤Æ¤¤¤ë¡£
+このパケットが新しい接続を開始しているが、
+FTP データ転送や ICMP エラーのように、既存の接続に関係している。
.\"O .B SNAT
.\"O A virtual state, matching if the original source address differs from
.\"O the reply destination.
.BR SNAT :
-²¾ÁÛŪ¤Ê¾õÂ֤Ǥ¢¤ê¡¢½ñ¤´¹¤¨Á°¤ÎÁ÷¿®¸µ¥¢¥É¥ì¥¹¤¬±þÅú¤Î°¸À襢¥É¥ì¥¹¤È
-°Û¤Ê¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+仮想的な状態であり、書き換え前の送信元アドレスが応答の宛先アドレスと
+異なる場合にマッチする。
.\"O .B DNAT
.\"O A virtual state, matching if the original destination differs from the
.\"O reply source.
.BR DNAT :
-²¾ÁÛŪ¤Ê¾õÂ֤Ǥ¢¤ê¡¢½ñ¤´¹¤¨Á°¤Î°¸À襢¥É¥ì¥¹¤¬±þÅú¤ÎÁ÷¿®¸µ¥¢¥É¥ì¥¹¤È
-°Û¤Ê¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+仮想的な状態であり、書き換え前の宛先アドレスが応答の送信元アドレスと
+異なる場合にマッチする。
.TP
.BI "--ctproto " "proto"
.\"O Protocol to match (by number or name)
-(̾Á°¤Þ¤¿¤Ï¿ôÃͤÇ) »ØÄꤵ¤ì¤¿¥×¥í¥È¥³¥ë¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+(名前または数値で) 指定されたプロトコルにマッチする。
.TP
.BI "--ctorigsrc " "[!] \fIaddress\fP[/\fImask\fP]"
.\"O Match against original source address
-½ñ¤´¹¤¨Á°¤ÎÁ÷¿®¸µ¥¢¥É¥ì¥¹¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+書き換え前の送信元アドレスにマッチする。
.TP
.BI "--ctorigdst " "[!] \fIaddress\fP[/\fImask\fP]"
.\"O Match against original destination address
-½ñ¤´¹¤¨Á°¤Î°¸À襢¥É¥ì¥¹¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+書き換え前の宛先アドレスにマッチする。
.TP
.BI "--ctreplsrc " "[!] \fIaddress\fP[/\fImask\fP]"
.\"O Match against reply source address
-±þÅú¤ÎÁ÷¿®¸µ¥¢¥É¥ì¥¹¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+応答の送信元アドレスにマッチする。
.TP
.BI "--ctrepldst " "[!] \fIaddress\fB[/\fImask\fP]"
.\"O Match against reply destination address
-±þÅú¤Î°¸À襢¥É¥ì¥¹¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+応答の宛先アドレスにマッチする。
.TP
.BI "--ctstatus " "[\fINONE|EXPECTED|SEEN_REPLY|ASSURED\fP][,...]"
.\"O Match against internal conntrack states
-ÀܳÄÉÀפÎÆâÉôŪ¤Ê¾õÂ֤˥ޥåÁ¤¹¤ë¡£
+接続追跡の内部的な状態にマッチする。
.TP
.BI "--ctexpire " "\fItime\fP[\fI:time\fP]"
.\"O Match remaining lifetime in seconds against given value
.\"O or range of values (inclusive)
-͸ú´ü´Ö¤Î»Ä¤êÉÿô¡¢¤Þ¤¿¤Ï¤½¤ÎÈÏ°Ï(ξü¤ò´Þ¤à)¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+有効期間の残り秒数、またはその範囲(両端を含む)にマッチする。
.SS dscp
.\"O This module matches the 6 bit DSCP field within the TOS field in the
.\"O IP header. DSCP has superseded TOS within the IETF.
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢IP ¥Ø¥Ã¥À¡¼¤Î TOS ¥Õ¥£¡¼¥ë¥ÉÆâ¤Ë¤¢¤ë¡¢
-6 bit ¤Î DSCP ¥Õ¥£¡¼¥ë¥É¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-IETF ¤Ç¤Ï DSCP ¤¬ TOS ¤Ë¼è¤Ã¤ÆÂå¤ï¤Ã¤¿¡£
+このモジュールは、IP ヘッダーの TOS フィールド内にある、
+6 bit の DSCP フィールドにマッチする。
+IETF では DSCP が TOS に取って代わった。
.TP
.BI "--dscp " "value"
.\"O Match against a numeric (decimal or hex) value [0-32].
.\"O motoki: patch [JM:12854]
-(10 ¿Ê¤Þ¤¿¤Ï 16 ¿Ê¤Î) ¿ôÃÍ [0\-63] ¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+(10 進または 16 進の) 数値 [0\-63] にマッチする。
.TP
.BI "--dscp-class " "\fIDiffServ Class\fP"
.\"O Match the DiffServ class. This value may be any of the
.\"O BE, EF, AFxx or CSx classes. It will then be converted
.\"O into it's according numeric value.
-DiffServ ¥¯¥é¥¹¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-ÃÍ¤Ï BE, EF, AFxx, CSx ¥¯¥é¥¹¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ë¡£
-¤³¤ì¤é¤Ï¡¢Âбþ¤¹¤ë¿ôÃͤǻØÄꤹ¤ë¤Î¤ÈƱ¤¸¤Ç¤¢¤ë¡£
+DiffServ クラスにマッチする。
+値は BE, EF, AFxx, CSx クラスのいずれかである。
+これらは、対応する数値で指定するのと同じである。
.SS esp
.\"O This module matches the SPIs in ESP header of IPSec packets.
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï IPSec ¥Ñ¥±¥Ã¥È¤Î ESP ¥Ø¥Ã¥À¡¼¤Î SPI Ãͤ˥ޥåÁ¤¹¤ë¡£
+このモジュールは IPSec パケットの ESP ヘッダーの SPI 値にマッチする。
.TP
.BR "--espspi " "[!] \fIspi\fP[:\fIspi\fP]"
.SS helper
.\"O This module matches packets related to a specific conntrack-helper.
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢»ØÄꤵ¤ì¤¿ÀܳÄÉÀץإë¥Ñ¡¼¥â¥¸¥å¡¼¥ë¤Ë
-´ØÏ¢¤¹¤ë¥Ñ¥±¥Ã¥È¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+このモジュールは、指定された接続追跡ヘルパーモジュールに
+関連するパケットにマッチする。
.TP
.BI "--helper " "string"
.\"O Matches packets related to the specified conntrack-helper.
-»ØÄꤵ¤ì¤¿ÀܳÄÉÀץإë¥Ñ¡¼¥â¥¸¥å¡¼¥ë¤Ë
-´ØÏ¢¤¹¤ë¥Ñ¥±¥Ã¥È¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定された接続追跡ヘルパーモジュールに
+関連するパケットにマッチする。
.RS
.PP
.\"O string can be "ftp" for packets related to a ftp-session on default port.
.\"O For other ports append -portnr to the value, ie. "ftp-2121".
-¥Ç¥Õ¥©¥ë¥È¤Î¥Ý¡¼¥È¤ò»È¤Ã¤¿ ftp-¥»¥Ã¥·¥ç¥ó¤Ë´ØÏ¢¤¹¤ë¥Ñ¥±¥Ã¥È¤Ç¤Ï¡¢
-string ¤Ë "ftp" ¤È½ñ¤±¤ë¡£
-¾¤Î¥Ý¡¼¥È¤Ç¤Ï "\-¥Ý¡¼¥ÈÈÖ¹æ" ¤òÃͤËÉÕ¤±²Ã¤¨¤ë¡£
-¤¹¤Ê¤ï¤Á "ftp-2121" ¤È¤Ê¤ë¡£
+デフォルトのポートを使った ftp-セッションに関連するパケットでは、
+string に "ftp" と書ける。
+他のポートでは "\-ポート番号" を値に付け加える。
+すなわち "ftp-2121" となる。
.PP
.\"O Same rules apply for other conntrack-helpers.
-¾¤ÎÀܳÄÉÀץإë¥Ñ¡¼¤Ç¤âƱ¤¸¥ë¡¼¥ë¤¬Å¬ÍѤµ¤ì¤ë¡£
+他の接続追跡ヘルパーでも同じルールが適用される。
.RE
.SS icmp
.\"O This extension is loaded if `--protocol icmp' is specified. It
.\"O provides the following option:
-¤³¤Î³ÈÄ¥¤Ï `--protocol icmp' ¤¬»ØÄꤵ¤ì¤¿¾ì¹ç¤Ë¥í¡¼¥É¤µ¤ì¡¢
-°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤¬Ä󶡤µ¤ì¤ë:
+この拡張は `--protocol icmp' が指定された場合にロードされ、
+以下のオプションが提供される:
.TP
.BR "--icmp-type " "[!] \fItypename\fP"
.\"O This allows specification of the ICMP type, which can be a numeric
.\"O ICMP type, or one of the ICMP type names shown by the command
-¿ôÃͤΠICMP ¥¿¥¤¥×¡¢¤Þ¤¿¤Ï¥³¥Þ¥ó¥É
+数値の ICMP タイプ、またはコマンド
.nf
iptables -p icmp -h
.fi
-¤Çɽ¼¨¤µ¤ì¤ë ICMP ¥¿¥¤¥×̾¤ò»ØÄê¤Ç¤¤ë¡£
+で表示される ICMP タイプ名を指定できる。
.SS length
.\"O This module matches the length of a packet against a specific value
.\"O or range of values.
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢»ØÄꤵ¤ì¤¿¥Ñ¥±¥Ã¥ÈĹ¡¢¤Þ¤¿¤Ï¤½¤ÎÈϰϤ˥ޥåÁ¤¹¤ë¡£
+このモジュールは、指定されたパケット長、またはその範囲にマッチする。
.TP
.BR "--length " "\fIlength\fP[:\fIlength\fP]"
.SS limit
.\"O This module matches at a limited rate using a token bucket filter.
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢¥È¡¼¥¯¥ó¥Ð¥±¥Ä¥Õ¥£¥ë¥¿¤ò»È¤¤¡¢
-ñ°Ì»þ´Ö¤¢¤¿¤êÀ©¸Â¤µ¤ì¤¿²ó¿ô¤À¤±¥Þ¥Ã¥Á¤¹¤ë¡£
+このモジュールは、トークンバケツフィルタを使い、
+単位時間あたり制限された回数だけマッチする。
.\"O A rule using this extension will match until this limit is reached
.\"O (unless the `!' flag is used). It can be used in combination with the
.\"O .B LOG
.\"O target to give limited logging, for example.
-¤³¤Î³ÈÄ¥¤ò»È¤Ã¤¿¥ë¡¼¥ë¤Ï¡¢(`!' ¥Õ¥é¥°¤¬»ØÄꤵ¤ì¤Ê¤¤¸Â¤ê)
-À©¸Â¤Ë㤹¤ë¤Þ¤Ç¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¥â¥¸¥å¡¼¥ë¤ÏÎ㤨¤Ð¡¢¥í¥°µÏ¿¤òÀ©¸Â¤¹¤ë¤¿¤á¤Ë
+この拡張を使ったルールは、(`!' フラグが指定されない限り)
+制限に達するまでマッチする。
+このモジュールは例えば、ログ記録を制限するために
.B LOG
-¥¿¡¼¥²¥Ã¥È¤ÈÁȤ߹ç¤ï¤»¤Æ»È¤¦¤³¤È¤¬¤Ç¤¤ë¡£
+ターゲットと組み合わせて使うことができる。
.TP
.BI "--limit " "rate"
.\"O Maximum average matching rate: specified as a number, with an optional
.\"O `/second', `/minute', `/hour', or `/day' suffix; the default is
.\"O 3/hour.
-ñ°Ì»þ´Ö¤¢¤¿¤ê¤ÎÊ¿¶Ñ¥Þ¥Ã¥Á²ó¿ô¤ÎºÇÂçÃÍ¡£
-¿ôÃͤǻØÄꤵ¤ì¡¢Åº»ú `/second', `/minute',
-`/hour', `/day' ¤òÉÕ¤±¤ë¤³¤È¤â¤Ç¤¤ë¡£
-¥Ç¥Õ¥©¥ë¥È¤Ï 3/hour ¤Ç¤¢¤ë¡£
+単位時間あたりの平均マッチ回数の最大値。
+数値で指定され、添字 `/second', `/minute',
+`/hour', `/day' を付けることもできる。
+デフォルトは 3/hour である。
.TP
.BI "--limit-burst " "number"
.\"O Maximum initial number of packets to match: this number gets
.\"O recharged by one every time the limit specified above is not reached,
.\"O up to this number; the default is 5.
-¥Ñ¥±¥Ã¥È¤¬¥Þ¥Ã¥Á¤¹¤ë²ó¿ô¤ÎºÇÂç½é´üÃÍ:
-¥Þ¥Ã¥Á²ó¿ô¤ÎºÇÂçÃͤϡ¢
-¾å¤Î¥ª¥×¥·¥ç¥ó¤Ç»ØÄꤷ¤¿À©¸Â¤Ë㤷¤Ê¤±¤ì¤Ð¡¢
-¤½¤ÎÅÙ¤´¤È¤Ë¡¢¤³¤Î¿ôÃͤˤʤë¤Þ¤Ç 1 ¸Ä¤º¤ÄÁý¤ä¤µ¤ì¤ë¡£
-¥Ç¥Õ¥©¥ë¥È¤Ï 5 ¤Ç¤¢¤ë¡£
+パケットがマッチする回数の最大初期値:
+マッチ回数の最大値は、
+上のオプションで指定した制限に達しなければ、
+その度ごとに、この数値になるまで 1 個ずつ増やされる。
+デフォルトは 5 である。
.SS mac
.TP
.BR "--mac-source " "[!] \fIaddress\fP"
.\"O or
.\"O .B INPUT
.\"O chains.
-Á÷¿®¸µ MAC ¥¢¥É¥ì¥¹¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+送信元 MAC アドレスにマッチする。
.I address
-¤Ï XX:XX:XX:XX:XX:XX ¤È¤¤¤¦·Á¼°¤Ç¤Ê¤±¤ì¤Ð¤Ê¤é¤Ê¤¤¡£
-¥¤¡¼¥µ¡¼¥Í¥Ã¥È¥Ç¥Ð¥¤¥¹¤«¤éÆþ¤Ã¤Æ¤¯¤ë¥Ñ¥±¥Ã¥È¤Ç¡¢
+は XX:XX:XX:XX:XX:XX という形式でなければならない。
+イーサーネットデバイスから入ってくるパケットで、
.BR PREROUTING ,
.BR FORWARD ,
.B INPUT
-¥Á¥§¥¤¥ó¤ËÆþ¤ë¥Ñ¥±¥Ã¥È¤Ë¤·¤«°ÕÌ£¤¬¤Ê¤¤¡£
+チェインに入るパケットにしか意味がない。
.SS mark
.\"O This module matches the netfilter mark field associated with a packet
.\"O (which can be set using the
.\"O .B MARK
.\"O target below).
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¥Ñ¥±¥Ã¥È¤Ë´ØÏ¢¤Å¤±¤é¤ì¤¿
-netfilter ¤Î mark ¥Õ¥£¡¼¥ë¥É¤Ë¥Þ¥Ã¥Á¤¹¤ë
-(¤³¤Î¥Õ¥£¡¼¥ë¥É¤Ï¡¢°Ê²¼¤Î
+このモジュールはパケットに関連づけられた
+netfilter の mark フィールドにマッチする
+(このフィールドは、以下の
.B MARK
-¥¿¡¼¥²¥Ã¥È¤ÇÀßÄꤵ¤ì¤ë)¡£
+ターゲットで設定される)。
.TP
.BR "--mark " "\fIvalue\fP[/\fImask\fP]"
.\"O Matches packets with the given unsigned mark value (if a mask is
.\"O specified, this is logically ANDed with the mask before the
.\"O comparison).
-»ØÄꤵ¤ì¤¿Éä¹æ¤Ê¤· mark ÃͤΥѥ±¥Ã¥È¤Ë¥Þ¥Ã¥Á¤¹¤ë
-(mask ¤¬»ØÄꤵ¤ì¤ë¤È¡¢Èæ³Ó¤ÎÁ°¤Ë mask ¤È¤ÎÏÀÍýÀÑ (AND) ¤¬¤È¤é¤ì¤ë)¡£
+指定された符号なし mark 値のパケットにマッチする
+(mask が指定されると、比較の前に mask との論理積 (AND) がとられる)。
.SS multiport
.\"O This module matches a set of source or destination ports. Up to 15
.\"O ports can be specified. It can only be used in conjunction with
.\"O .B "-p tcp"
.\"O or
.\"O .BR "-p udp" .
-¤³¤Î¥â¥¸¥å¡¼¥ë¤ÏÁ÷¿®¸µ¤äÁ÷¿®Àè¤Î¥Ý¡¼¥È¤Î½¸¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¥Ý¡¼¥È¤Ï 15 ¸Ä¤Þ¤Ç»ØÄê¤Ç¤¤ë¡£
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï
+このモジュールは送信元や送信先のポートの集合にマッチする。
+ポートは 15 個まで指定できる。
+このモジュールは
.B "-p tcp"
-¤Þ¤¿¤Ï
+または
.B "-p udp"
-¤ÈÁȤ߹ç¤ï¤»¤Æ»È¤¦¤³¤È¤·¤«¤Ç¤¤Ê¤¤¡£
+と組み合わせて使うことしかできない。
.TP
.BR "--source-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
.\"O Match if the source port is one of the given ports. The flag
.\"O .B --sports
.\"O is a convenient alias for this option.
-Á÷¿®¸µ¥Ý¡¼¥È¤¬»ØÄꤵ¤ì¤¿¥Ý¡¼¥È¤Î¤¦¤Á¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ì¤Ð¥Þ¥Ã¥Á¤¹¤ë¡£
-¥Õ¥é¥°
+送信元ポートが指定されたポートのうちのいずれかであればマッチする。
+ã\83\95ã\83©ã\82°
.B --sports
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊØÍø¤ÊÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの便利な別名である。
.TP
.BR "--destination-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
.\"O Match if the destination port is one of the given ports. The flag
.\"O .B --dports
.\"O is a convenient alias for this option.
-°¸Àè¥Ý¡¼¥È¤¬»ØÄꤵ¤ì¤¿¥Ý¡¼¥È¤Î¤¦¤Á¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ì¤Ð¥Þ¥Ã¥Á¤¹¤ë¡£
-¥Õ¥é¥°
+宛先ポートが指定されたポートのうちのいずれかであればマッチする。
+ã\83\95ã\83©ã\82°
.B --dports
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊØÍø¤ÊÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの便利な別名である。
.TP
.BR "--ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
.\"O Match if the both the source and destination ports are equal to each
.\"O other and to one of the given ports.
-Á÷¿®¸µ¥Ý¡¼¥È¤È°¸Àè¥Ý¡¼¥È¤¬Åù¤·¤¯¡¢
-¤«¤Ä¤½¤Î¥Ý¡¼¥È¤¬»ØÄꤵ¤ì¤¿¥Ý¡¼¥È¤Î¤¦¤Á¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ì¤Ð¥Þ¥Ã¥Á¤¹¤ë¡£
+送信元ポートと宛先ポートが等しく、
+かつそのポートが指定されたポートのうちのいずれかであればマッチする。
.SS owner
.\"O This module attempts to match various characteristics of the packet
.\"O creator, for locally-generated packets. It is only valid in the
.\"O .B OUTPUT
.\"O chain, and even this some packets (such as ICMP ping responses) may
.\"O have no owner, and hence never match.
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢¥í¡¼¥«¥ë¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤ËÉÕ¤¤¤Æ¡¢
-¥Ñ¥±¥Ã¥ÈÀ¸À®¼Ô¤Î¤¤¤í¤¤¤í¤ÊÆÃÀ¤ËÂФ·¤Æ¥Þ¥Ã¥Á¤ò¹Ô¤¦¡£
-¤³¤ì¤Ï
+このモジュールは、ローカルで生成されたパケットに付いて、
+パケット生成者のいろいろな特性に対してマッチを行う。
+これは
.B OUTPUT
-¥Á¥§¥¤¥ó¤Î¤ß¤Ç¤·¤«Í¸ú¤Ç¤Ê¤¤¡£
-¤Þ¤¿¡¢(ICMP ping ±þÅú¤Î¤è¤¦¤Ê) ¥Ñ¥±¥Ã¥È¤Ï¡¢
-½êͼԤ¬¤¤¤Ê¤¤¤Î¤ÇÀäÂФ˥ޥåÁ¤·¤Ê¤¤¡£
+チェインのみでしか有効でない。
+また、(ICMP ping 応答のような) パケットは、
+所有者がいないので絶対にマッチしない。
.TP
.BI "--uid-owner " "userid"
.\"O Matches if the packet was created by a process with the given
.\"O effective user id.
-»ØÄꤵ¤ì¤¿¼Â¸ú¥æ¡¼¥¶¡¼ ID ¤Î¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定された実効ユーザー ID のプロセスにより
+パケットが生成されている場合にマッチする。
.TP
.BI "--gid-owner " "groupid"
.\"O Matches if the packet was created by a process with the given
.\"O effective group id.
-»ØÄꤵ¤ì¤¿¼Â¸ú¥°¥ë¡¼¥× ID ¤Î¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定された実効グループ ID のプロセスにより
+パケットが生成されている場合にマッチする。
.TP
.BI "--pid-owner " "processid"
.\"O Matches if the packet was created by a process with the given
.\"O process id.
-»ØÄꤵ¤ì¤¿¥×¥í¥»¥¹ ID ¤Î¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定されたプロセス ID のプロセスにより
+パケットが生成されている場合にマッチする。
.TP
.BI "--sid-owner " "sessionid"
.\"O Matches if the packet was created by a process in the given session
.\"O group.
-»ØÄꤵ¤ì¤¿¥»¥Ã¥·¥ç¥ó¥°¥ë¡¼¥×¤Î¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定されたセッショングループのプロセスにより
+パケットが生成されている場合にマッチする。
.TP
.BI "--cmd-owner " "name"
.\"O Matches if the packet was created by a process with the given command name.
.\"O (this option is present only if iptables was compiled under a kernel
.\"O supporting this feature)
-»ØÄꤵ¤ì¤¿¥³¥Þ¥ó¥É̾¤ò»ý¤Ä¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë
-(¤³¤Îµ¡Ç½¤ò¥µ¥Ý¡¼¥È¤·¤¿¥«¡¼¥Í¥ë¤Î¤â¤È¤Ç iptables ¤¬¥³¥ó¥Ñ¥¤¥ë¤µ¤ì¤¿¾ì¹ç
-¤Ë¤Î¤ß¡¢¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¸ºß¤¹¤ë)¡£
+指定されたコマンド名を持つプロセスにより
+パケットが生成されている場合にマッチする
+(この機能をサポートしたカーネルのもとで iptables がコンパイルされた場合
+にのみ、このモジュールは存在する)。
.SS physdev
.\"O This module matches on the bridge port input and output devices enslaved
.\"O to a bridge device. This module is a part of the infrastructure that enables
.\"O a transparent bridging IP firewall and is only useful for kernel versions
.\"O above version 2.5.44.
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢¥Ö¥ê¥Ã¥¸¥Ç¥Ð¥¤¥¹¤Î¥¹¥ì¡¼¥Ö¤Ë¤µ¤ì¤¿¡¢
-¥Ö¥ê¥Ã¥¸¥Ý¡¼¥È¤ÎÆþ½ÐÎϥǥХ¤¥¹¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢¥Ö¥ê¥Ã¥¸¤Ë¤è¤ëÆ©²áŪ¤Ê
-IP ¥Õ¥¡¥¤¥¢¥¦¥©¡¼¥ë¤Î´ðÈפΰìÉô¤Ç¤¢¤ê¡¢
-¥«¡¼¥Í¥ë¥Ð¡¼¥¸¥ç¥ó 2.5.44 °Ê¹ß¤Ç¤Î¤ß͸ú¤Ç¤¢¤ë¡£
+このモジュールは、ブリッジデバイスのスレーブにされた、
+ブリッジポートの入出力デバイスにマッチする。
+このモジュールは、ブリッジによる透過的な
+IP ファイアウォールの基盤の一部であり、
+カーネルバージョン 2.5.44 以降でのみ有効である。
.TP
.B --physdev-in name
.\"O Name of a bridge port via which a packet is received (only for
.\"O chains). If the interface name ends in a "+", then any
.\"O interface which begins with this name will match. If the packet didn't arrive
.\"O through a bridge device, this packet won't match this option, unless '!' is used.
-¥Ñ¥±¥Ã¥È¤¬¼õ¿®¤µ¤ì¤ë¥Ö¥ê¥Ã¥¸¤Î¥Ý¡¼¥È̾
+パケットが受信されるブリッジのポート名
.RB ( INPUT ,
.BR FORWARD ,
.B PREROUTING
-¥Á¥§¥¤¥ó¤ËÆþ¤ë¥Ñ¥±¥Ã¥È¤Î¤ß)¡£
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤¬ "+" ¤Ç½ª¤Ã¤Æ¤¤¤ë¾ì¹ç¡¢
-¤½¤Î̾Á°¤Ç»Ï¤Þ¤ëǤ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¥Ö¥ê¥Ã¥¸¥Ç¥Ð¥¤¥¹¤òÄ̤·¤Æ¼õ¤±¼è¤é¤ì¤Ê¤«¤Ã¤¿¥Ñ¥±¥Ã¥È¤Ï¡¢
-\&'!' ¤¬»ØÄꤵ¤ì¤Æ¤¤¤Ê¤¤¸Â¤ê¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤Ë¥Þ¥Ã¥Á¤·¤Ê¤¤¡£
-.\"O sato: ºÇ¸å¤Î°ìʸ¤Ï°ÕÌõ¤®¤ß¤«¤â
+チェインに入るパケットのみ)。
+インターフェース名が "+" で終っている場合、
+その名前で始まる任意のインターフェース名にマッチする。
+ブリッジデバイスを通して受け取られなかったパケットは、
+\&'!' が指定されていない限り、このオプションにマッチしない。
+.\"O sato: 最後の一文は意訳ぎみかも
.TP
.B --physdev-out name
.\"O Name of a bridge port via which a packet is going to be sent (for packets
.\"O chain. If the packet won't leave by a bridge device or it is yet unknown what
.\"O the output device will be, then the packet won't match this option, unless
.\"O '!' is used.
-¥Ñ¥±¥Ã¥È¤òÁ÷¿®¤¹¤ë¤³¤È¤Ë¤Ê¤ë¥Ö¥ê¥Ã¥¸¤Î¥Ý¡¼¥È̾
+パケットを送信することになるブリッジのポート名
.RB ( FORWARD ,
.BR OUTPUT ,
.B POSTROUTING
-¥Á¥§¥¤¥ó¤ËÆþ¤ë¥Ñ¥±¥Ã¥È¤Î¤ß)¡£
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤¬ "+" ¤Ç½ª¤Ã¤Æ¤¤¤ë¾ì¹ç¡¢
-¤½¤Î̾Á°¤Ç»Ï¤Þ¤ëǤ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+チェインに入るパケットのみ)。
+インターフェース名が "+" で終っている場合、
+その名前で始まる任意のインターフェース名にマッチする。
.B nat
-¤È
+と
.B mangle
-¥Æ¡¼¥Ö¥ë¤Î
+テーブルの
.B OUTPUT
-¥Á¥§¥¤¥ó¤Ç¤Ï¥Ö¥ê¥Ã¥¸¤Î½ÐÎϥݡ¼¥È¤Ë¥Þ¥Ã¥Á¤µ¤»¤ë¤³¤È¤¬¤Ç¤¤Ê¤¤¤¬¡¢
+チェインではブリッジの出力ポートにマッチさせることができないが、
.B filter
-¥Æ¡¼¥Ö¥ë¤Î
+テーブルの
.B OUPUT
-¥Á¥§¥¤¥ó¤Ç¤Ï¥Þ¥Ã¥Á²Äǽ¤Ç¤¢¤ë¡£
-¥Ñ¥±¥Ã¥È¤¬¥Ö¥ê¥Ã¥¸¥Ç¥Ð¥¤¥¹¤«¤éÁ÷¤é¤ì¤Ê¤«¤Ã¤¿¾ì¹ç¡¢
-¤Þ¤¿¤Ï¥Ñ¥±¥Ã¥È¤Î½ÐÎϥǥХ¤¥¹¤¬ÉÔÌÀ¤Ç¤¢¤Ã¤¿¾ì¹ç¤Ï¡¢
-\&'!' ¤¬»ØÄꤵ¤ì¤Æ¤¤¤Ê¤¤¸Â¤ê¡¢¥Ñ¥±¥Ã¥È¤Ï¤³¤Î¥ª¥×¥·¥ç¥ó¤Ë¥Þ¥Ã¥Á¤·¤Ê¤¤¡£
+チェインではマッチ可能である。
+パケットがブリッジデバイスから送られなかった場合、
+またはパケットの出力デバイスが不明であった場合は、
+\&'!' が指定されていない限り、パケットはこのオプションにマッチしない。
.TP
.B --physdev-is-in
.\"O Matches if the packet has entered through a bridge interface.
-¥Ñ¥±¥Ã¥È¤¬¥Ö¥ê¥Ã¥¸¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ËÆþ¤Ã¤¿¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+パケットがブリッジインターフェースに入った場合にマッチする。
.TP
.B --physdev-is-out
.\"O Matches if the packet will leave through a bridge interface.
-¥Ñ¥±¥Ã¥È¤¬¥Ö¥ê¥Ã¥¸¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤«¤é½Ð¤è¤¦¤È¤·¤¿¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+パケットがブリッジインターフェースから出ようとした場合にマッチする。
.TP
.B --physdev-is-bridged
.\"O Matches if the packet is being bridged and therefore is not being routed.
.\"O This is only useful in the FORWARD and POSTROUTING chains.
-¥Ñ¥±¥Ã¥È¤¬¥Ö¥ê¥Ã¥¸¤µ¤ì¤ë¤³¤È¤Ë¤è¤ê¡¢
-¥ë¡¼¥Æ¥£¥ó¥°¤µ¤ì¤Ê¤«¤Ã¤¿¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤ì¤Ï FORWARD, POSTROUTING ¥Á¥§¥¤¥ó¤Ë¤ª¤¤¤Æ¤Î¤ßÌòΩ¤Ä¡£
+パケットがブリッジされることにより、
+ルーティングされなかった場合にマッチする。
+これは FORWARD, POSTROUTING チェインにおいてのみ役立つ。
.SS pkttype
.\"O This module matches the link-layer packet type.
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢¥ê¥ó¥¯ÁؤΥѥ±¥Ã¥È¥¿¥¤¥×¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+このモジュールは、リンク層のパケットタイプにマッチする。
.TP
.BI "--pkt-type " "[\fIunicast\fP|\fIbroadcast\fP|\fImulticast\fP]"
.SS state
.\"O This module, when combined with connection tracking, allows access to
.\"O the connection tracking state for this packet.
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢ÀܳÄÉÀ× (connection tracking) ¤ÈÁȤ߹ç¤ï¤»¤ÆÍѤ¤¤ë¤È¡¢
-¥Ñ¥±¥Ã¥È¤Ë¤Ä¤¤¤Æ¤ÎÀܳÄÉÀ×¾õÂÖ¤òÃΤ뤳¤È¤¬¤Ç¤¤ë¡£
+このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、
+パケットについての接続追跡状態を知ることができる。
.TP
.BI "--state " "state"
.\"O Where state is a comma separated list of the connection states to
.\"O .B ESTABLISHED
.\"O meaning that the packet is associated with a connection which has seen
.\"O packets in both directions,
-state ¤Ï¡¢¥Þ¥Ã¥Á¥ó¥°¤ò¹Ô¤¦¤¿¤á¤Î¡¢¥³¥ó¥Þ¤Ç¶èÀÚ¤é¤ì¤¿Àܳ¾õÂ֤Υꥹ¥È¤Ç¤¢¤ë¡£
-»ØÄê²Äǽ¤Ê state ¤Ï°Ê²¼¤ÎÄ̤ꡣ
+state は、マッチングを行うための、コンマで区切られた接続状態のリストである。
+指定可能な state は以下の通り。
.BR INVALID :
-¤³¤Î¥Ñ¥±¥Ã¥È¤Ï´ûÃΤÎÀܳ¤È´Ø·¸¤·¤Æ¤¤¤Ê¤¤¡£
+このパケットは既知の接続と関係していない。
.BR ESTABLISHED :
-¤³¤Î¥Ñ¥±¥Ã¥È¤Ï¡¢²áµîÁÐÊý¸þ¤Ë¥Ñ¥±¥Ã¥È¤¬¤ä¤ê¼è¤ê¤µ¤ì¤¿Àܳ¤Ë°¤¹¤ë¥Ñ¥±¥Ã¥È¤Ç¤¢¤ë¡£
+このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。
.\"O .B NEW
.\"O meaning that the packet has started a new connection, or otherwise
.\"O associated with a connection which has not seen packets in both
.\"O directions, and
.BR NEW :
-¤³¤Î¥Ñ¥±¥Ã¥È¤¬¿·¤·¤¤Àܳ¤ò³«»Ï¤·¤¿¤«¡¢
-ÁÐÊý¸þ¤Ë¤Ï¥Ñ¥±¥Ã¥È¤¬¤ä¤ê¼è¤ê¤µ¤ì¤Æ¤¤¤Ê¤¤Àܳ¤Ë°¤¹¤ë¥Ñ¥±¥Ã¥È¤Ç¤¢¤ë¡£
+このパケットが新しい接続を開始したか、
+双方向にはパケットがやり取りされていない接続に属するパケットである。
.\"O .B RELATED
.\"O meaning that the packet is starting a new connection, but is
.\"O associated with an existing connection, such as an FTP data transfer,
.\"O or an ICMP error.
.BR RELATED :
-¤³¤Î¥Ñ¥±¥Ã¥È¤¬¿·¤·¤¤Àܳ¤ò³«»Ï¤·¤Æ¤¤¤ë¤¬¡¢
-FTP ¥Ç¡¼¥¿Å¾Á÷¤ä ICMP ¥¨¥é¡¼¤Î¤è¤¦¤Ë¡¢´û¸¤ÎÀܳ¤Ë´Ø·¸¤·¤Æ¤¤¤ë¡£
+このパケットが新しい接続を開始しているが、
+FTP データ転送や ICMP エラーのように、既存の接続に関係している。
.SS tcp
.\"O These extensions are loaded if `--protocol tcp' is specified. It
.\"O provides the following options:
-¤³¤ì¤é¤Î³ÈÄ¥¤Ï `--protocol tcp' ¤¬»ØÄꤵ¤ì¾ì¹ç¤Ë¥í¡¼¥É¤µ¤ì¡¢
-°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤¬Ä󶡤µ¤ì¤ë:
+これらの拡張は `--protocol tcp' が指定され場合にロードされ、
+以下のオプションが提供される:
.TP
.BR "--source-port " "[!] \fIport\fP[:\fIport\fP]"
.\"O Source port or port range specification. This can either be a service
.\"O name or a port number. An inclusive range can also be specified,
.\"O using the format
.\"O .IR port : port .
-Á÷¿®¸µ¥Ý¡¼¥È¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈϰϤλØÄê¡£
-¥µ¡¼¥Ó¥¹Ì¾¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈÖ¹æ¤ò»ØÄê¤Ç¤¤ë¡£
+送信元ポートまたはポート範囲の指定。
+サービス名またはポート番号を指定できる。
.IR port : port
-¤È¤¤¤¦·Á¼°¤Ç¡¢2 ¤Ä¤ÎÈÖ¹æ¤ò´Þ¤àÈϰϤò»ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë¡£
+という形式で、2 つの番号を含む範囲を指定することもできる。
.\"O If the first port is omitted, "0" is assumed; if the last is omitted,
.\"O "65535" is assumed.
.\"O If the second port greater then the first they will be swapped.
.\"O The flag
.\"O .B --sport
.\"O is a convenient alias for this option.
-ºÇ½é¤Î¥Ý¡¼¥È¤ò¾Êά¤·¤¿¾ì¹ç¡¢"0" ¤ò²¾Äꤹ¤ë¡£
-ºÇ¸å¤Î¥Ý¡¼¥È¤ò¾Êά¤·¤¿¾ì¹ç¡¢"65535" ¤ò²¾Äꤹ¤ë¡£
-ºÇ½é¤Î¥Ý¡¼¥È¤¬ºÇ¸å¤Î¥Ý¡¼¥È¤è¤êÂ礤¤¾ì¹ç¡¢2 ¤Ä¤ÏÆþ¤ì´¹¤¨¤é¤ì¤ë¡£
-.\"tsekine ¸¶Ê¸¤¬´Ö°ã¤Ã¤Æ¤½¤¦
-¥Õ¥é¥°
+最初のポートを省略した場合、"0" を仮定する。
+最後のポートを省略した場合、"65535" を仮定する。
+最初のポートが最後のポートより大きい場合、2 つは入れ換えられる。
+.\"tsekine 原文が間違ってそう
+ã\83\95ã\83©ã\82°
.B --sport
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊØÍø¤ÊÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの便利な別名である。
.TP
.BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]"
.\"O Destination port or port range specification. The flag
.\"O .B --dport
.\"O is a convenient alias for this option.
-Á÷¿®Àè¥Ý¡¼¥È¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈϰϤλØÄê¡£
-¥Õ¥é¥°
+送信先ポートまたはポート範囲の指定。
+ã\83\95ã\83©ã\82°
.B --dport
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊØÍø¤ÊÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの便利な別名である。
.TP
.BR "--tcp-flags " "[!] \fImask\fP \fIcomp\fP"
.\"O Match when the TCP flags are as specified. The first argument is the
.\"O the second argument is a comma-separated list of flags which must be
.\"O set. Flags are:
.\"O .BR "SYN ACK FIN RST URG PSH ALL NONE" .
-TCP ¥Õ¥é¥°¤¬»ØÄꤵ¤ì¤¿¤â¤Î¤ÈÅù¤·¤¤¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-Âè 1 °ú¤¿ô¤Ïɾ²ÁÂоݤȤ¹¤ë¥Õ¥é¥°¤Ç¡¢¥³¥ó¥Þ¶èÀÚ¤ê¤Î¥ê¥¹¥È¤Ç¤¢¤ë¡£
-Âè 2 °ú¤¿ô¤Ï¤³¤Î¤¦¤ÁÀßÄꤵ¤ì¤Æ¤¤¤Ê¤±¤ì¤Ð¤Ê¤é¤Ê¤¤¥Õ¥é¥°¤Ç¡¢
-¥³¥ó¥Þ¶èÀÚ¤ê¤Î¥ê¥¹¥È¤Ç¤¢¤ë¡£
-»ØÄê¤Ç¤¤ë¥Õ¥é¥°¤Ï
+TCP フラグが指定されたものと等しい場合にマッチする。
+第 1 引き数は評価対象とするフラグで、コンマ区切りのリストである。
+第 2 引き数はこのうち設定されていなければならないフラグで、
+コンマ区切りのリストである。
+指定できるフラグは
.B "SYN ACK FIN RST URG PSH ALL NONE"
-¤Ç¤¢¤ë¡£
+である。
.\"O Hence the command
.\"O .nf
.\"O iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
.\"O .fi
.\"O will only match packets with the SYN flag set, and the ACK, FIN and
.\"O RST flags unset.
-¤è¤Ã¤Æ¡¢¥³¥Þ¥ó¥É
+よって、コマンド
.nf
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
.fi
-¤Ï¡¢SYN ¥Õ¥é¥°¤¬ÀßÄꤵ¤ì ACK, FIN, RST ¥Õ¥é¥°¤¬ÀßÄꤵ¤ì¤Æ¤¤¤Ê¤¤
-¥Ñ¥±¥Ã¥È¤Ë¤Î¤ß¥Þ¥Ã¥Á¤¹¤ë¡£
+は、SYN フラグが設定され ACK, FIN, RST フラグが設定されていない
+パケットにのみマッチする。
.TP
.B "[!] --syn"
.\"O Only match TCP packets with the SYN bit set and the ACK and RST bits
.\"O It is equivalent to \fB--tcp-flags SYN,RST,ACK SYN\fP.
.\"O If the "!" flag precedes the "--syn", the sense of the
.\"O option is inverted.
-SYN ¥Ó¥Ã¥È¤¬ÀßÄꤵ¤ì ACK ¤È RST ¥Ó¥Ã¥È¤¬¥¯¥ê¥¢¤µ¤ì¤Æ¤¤¤ë
-TCP ¥Ñ¥±¥Ã¥È¤Ë¤Î¤ß¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¤è¤¦¤Ê¥Ñ¥±¥Ã¥È¤Ï TCP Àܳ¤Î³«»ÏÍ×µá¤Ë»È¤ï¤ì¤ë¡£
-Î㤨¤Ð¡¢¤¢¤ë¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ËÆþ¤Ã¤Æ¤¯¤ë¤³¤Î¤è¤¦¤Ê¥Ñ¥±¥Ã¥È¤ò¥Ö¥í¥Ã¥¯¤¹¤ì¤Ð¡¢
-Æ⦤ؤΠTCP Àܳ¤Ï¶Ø»ß¤µ¤ì¤ë¤¬¡¢³°Â¦¤Ø¤Î TCP Àܳ¤Ë¤Ï±Æ¶Á¤·¤Ê¤¤¡£
-¤³¤ì¤Ï \fB--tcp-flags SYN,RST,ACK SYN\fP ¤ÈÅù¤·¤¤¡£
-"--syn" ¤ÎÁ°¤Ë "!" ¥Õ¥é¥°¤òÃÖ¤¯¤È¡¢
-SYN ¥Ó¥Ã¥È¤¬¥¯¥ê¥¢¤µ¤ì ACK ¤È RST ¥Ó¥Ã¥È¤¬ÀßÄꤵ¤ì¤Æ¤¤¤ë
-TCP ¥Ñ¥±¥Ã¥È¤Ë¤Î¤ß¥Þ¥Ã¥Á¤¹¤ë¡£
+SYN ビットが設定され ACK と RST ビットがクリアされている
+TCP パケットにのみマッチする。
+このようなパケットは TCP 接続の開始要求に使われる。
+例えば、あるインターフェースに入ってくるこのようなパケットをブロックすれば、
+内側への TCP 接続は禁止されるが、外側への TCP 接続には影響しない。
+これは \fB--tcp-flags SYN,RST,ACK SYN\fP と等しい。
+"--syn" の前に "!" フラグを置くと、
+SYN ビットがクリアされ ACK と RST ビットが設定されている
+TCP パケットにのみマッチする。
.TP
.BR "--tcp-option " "[!] \fInumber\fP"
.\"O Match if TCP option set.
-TCP ¥ª¥×¥·¥ç¥ó¤¬ÀßÄꤵ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+TCP オプションが設定されている場合にマッチする。
.TP
.BR "--mss " "\fIvalue\fP[:\fIvalue\fP]"
.\"O Match TCP SYN or SYN/ACK packets with the specified MSS value (or range),
.\"O which control the maximum packet size for that connection.
-»ØÄꤵ¤ì¤¿ MSS ÃÍ (¤ÎÈÏ°Ï) ¤ò»ý¤Ä TCP ¤Î
-SYN ¤Þ¤¿¤Ï SYN/ACK ¥Ñ¥±¥Ã¥È¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-MSS ¤ÏÀܳ¤ËÂФ¹¤ë¥Ñ¥±¥Ã¥È¤ÎºÇÂ祵¥¤¥º¤òÀ©¸æ¤¹¤ë¡£
+指定された MSS 値 (の範囲) を持つ TCP の
+SYN または SYN/ACK パケットにマッチする。
+MSS は接続に対するパケットの最大サイズを制御する。
.SS tos
.\"O This module matches the 8 bits of Type of Service field in the IP
.\"O header (ie. including the precedence bits).
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï IP ¥Ø¥Ã¥À¡¼¤Î 8 ¥Ó¥Ã¥È¤Î (¤Ä¤Þ¤ê¾å°Ì¥Ó¥Ã¥È¤ò´Þ¤à)
-Type of Service ¥Õ¥£¡¼¥ë¥É¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+このモジュールは IP ヘッダーの 8 ビットの (つまり上位ビットを含む)
+Type of Service フィールドにマッチする。
.TP
.BI "--tos " "tos"
.\"O The argument is either a standard name, (use
.\"O iptables -m tos -h
.\"O .br
.\"O to see the list), or a numeric value to match.
-°ú¤¿ô¤Ï¡¢¥Þ¥Ã¥Á¤ò¹Ô¤¦É¸½àŪ¤Ê̾Á°¤Ç¤â¿ôÃͤǤâ¤è¤¤
-(̾Á°¤Î¥ê¥¹¥È¤ò¸«¤ë¤Ë¤Ï
+引き数は、マッチを行う標準的な名前でも数値でもよい
+(名前のリストを見るには
.nf
iptables -m tos -h
.fi
-¤ò»È¤¦¤³¤È)¡£
+を使うこと)。
.SS ttl
.\"O This module matches the time to live field in the IP header.
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï IP ¥Ø¥Ã¥À¡¼¤Î time to live ¥Õ¥£¡¼¥ë¥É¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+このモジュールは IP ヘッダーの time to live フィールドにマッチする。
.TP
.BI "--ttl " "ttl"
.\"O Matches the given TTL value.
-»ØÄꤵ¤ì¤¿ TTL Ãͤ˥ޥåÁ¤¹¤ë¡£
+指定された TTL 値にマッチする。
.SS udp
.\"O These extensions are loaded if `--protocol udp' is specified. It
.\"O provides the following options:
-¤³¤ì¤é¤Î³ÈÄ¥¤Ï `--protocol udp' ¤¬»ØÄꤵ¤ì¤¿¾ì¹ç¤Ë¥í¡¼¥É¤µ¤ì¡¢
-°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤¬Ä󶡤µ¤ì¤ë:
+これらの拡張は `--protocol udp' が指定された場合にロードされ、
+以下のオプションが提供される:
.TP
.BR "--source-port " "[!] \fIport\fP[:\fIport\fP]"
.\"O Source port or port range specification.
.\"O See the description of the
.\"O .B --source-port
.\"O option of the TCP extension for details.
-Á÷¿®¸µ¥Ý¡¼¥È¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈϰϤλØÄê¡£
-¾ÜºÙ¤Ï TCP ³ÈÄ¥¤Î
+送信元ポートまたはポート範囲の指定。
+詳細は TCP 拡張の
.B --source-port
-¥ª¥×¥·¥ç¥ó¤ÎÀâÌÀ¤ò»²¾È¤¹¤ë¤³¤È¡£
+オプションの説明を参照すること。
.TP
.BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]"
.\"O Destination port or port range specification.
.\"O See the description of the
.\"O .B --destination-port
.\"O option of the TCP extension for details.
-Á÷¿®Àè¥Ý¡¼¥È¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈϰϤλØÄê¡£
-¾ÜºÙ¤Ï TCP ³ÈÄ¥¤Î
+送信先ポートまたはポート範囲の指定。
+詳細は TCP 拡張の
.B --destination-port
-¥ª¥×¥·¥ç¥ó¤ÎÀâÌÀ¤ò»²¾È¤¹¤ë¤³¤È¡£
+オプションの説明を参照すること。
.SS unclean
.\"O This module takes no options, but attempts to match packets which seem
.\"O malformed or unusual. This is regarded as experimental.
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬¤Ê¤¤¤¬¡¢
-¤ª¤«¤·¤¯Àµ¾ï¤Ç¤Ê¤¤¤è¤¦¤Ë¸«¤¨¤ë¥Ñ¥±¥Ã¥È¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤ì¤Ï¼Â¸³Åª¤Ê¤â¤Î¤È¤·¤Æ°·¤ï¤ì¤Æ¤¤¤ë¡£
+このモジュールにはオプションがないが、
+おかしく正常でないように見えるパケットにマッチする。
+これは実験的なものとして扱われている。
.\"O .SH TARGET EXTENSIONS
-.SH ¥¿¡¼¥²¥Ã¥È¤Î³ÈÄ¥
+.SH ターゲットの拡張
.\"O iptables can use extended target modules: the following are included
.\"O in the standard distribution.
-iptables ¤Ï³ÈÄ¥¥¿¡¼¥²¥Ã¥È¥â¥¸¥å¡¼¥ë¤ò»È¤¦¤³¤È¤¬¤Ç¤¤ë:
-°Ê²¼¤Î¤â¤Î¤¬¡¢É¸½àŪ¤Ê¥Ç¥£¥¹¥È¥ê¥Ó¥å¡¼¥·¥ç¥ó¤Ë´Þ¤Þ¤ì¤Æ¤¤¤ë¡£
+iptables は拡張ターゲットモジュールを使うことができる:
+以下のものが、標準的なディストリビューションに含まれている。
.SS DNAT
.\"O This target is only valid in the
.\"O .B nat
.\"O should be modified (and all future packets in this connection will
.\"O also be mangled), and rules should cease being examined. It takes one
.\"O type of option:
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï
+このターゲットは
.B nat
-¥Æ¡¼¥Ö¥ë¤Î
+テーブルの
.BR PREROUTING ,
.B OUTPUT
-¥Á¥§¥¤¥ó¡¢¤³¤ì¤é¤Î¥Á¥§¥¤¥ó¤«¤é¸Æ¤Ó½Ð¤µ¤ì¤ë
-¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¥Ñ¥±¥Ã¥È¤ÎÁ÷¿®À襢¥É¥ì¥¹¤ò½¤Àµ¤¹¤ë
-(¤³¤ÎÀܳ¤Î°Ê¹ß¤Î¥Ñ¥±¥Ã¥È¤â½¤Àµ¤·¤Æʬ¤«¤é¤Ê¤¯ (mangle) ¤¹¤ë)¡£
-¤µ¤é¤Ë¡¢¥ë¡¼¥ë¤Ë¤è¤ë¥Á¥§¥Ã¥¯¤ò»ß¤á¤µ¤»¤ë¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬ 1 ¼ïÎढ¤ë:
+チェイン、これらのチェインから呼び出される
+ユーザー定義チェインのみで有効である。
+このターゲットはパケットの送信先アドレスを修正する
+(この接続の以降のパケットも修正して分からなく (mangle) する)。
+さらに、ルールによるチェックを止めさせる。
+このターゲットにはオプションが 1 種類ある:
.TP
.BR "--to-destination " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]"
.\"O which can specify a single new destination IP address, an inclusive
.\"O .BR "-p udp" ).
.\"O If no port range is specified, then the destination port will never be
.\"O modified.
-1 ¤Ä¤Î¿·¤·¤¤Á÷¿®Àè IP ¥¢¥É¥ì¥¹¡¢¤Þ¤¿¤Ï IP ¥¢¥É¥ì¥¹¤ÎÈϰϤ¬»ØÄê¤Ç¤¤ë¡£
-¥Ý¡¼¥È¤ÎÈϰϤò»ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë
-(¤³¤ì¤Ï¥ë¡¼¥ë¤Ç
+1 つの新しい送信先 IP アドレス、または IP アドレスの範囲が指定できる。
+ポートの範囲を指定することもできる
+(これはルールで
.B "-p tcp"
-¤Þ¤¿¤Ï
+または
.B "-p udp"
-¤ò»ØÄꤷ¤Æ¤¤¤ë¾ì¹ç¤Ë¤Î¤ß͸ú)¡£
-¥Ý¡¼¥È¤ÎÈϰϤ¬»ØÄꤵ¤ì¤Æ¤¤¤Ê¤¤¾ì¹ç¡¢Á÷¿®Àè¥Ý¡¼¥È¤ÏÊѹ¹¤µ¤ì¤Ê¤¤¡£
+を指定している場合にのみ有効)。
+ポートの範囲が指定されていない場合、送信先ポートは変更されない。
.RS
.PP
.\"O You can add several --to-destination options. If you specify more
.\"O than one destination address, either via an address range or multiple
.\"O --to-destination options, a simple round-robin (one after another in
.\"O cycle) load balancing takes place between these adresses.
-Ê£¿ô¤Î --to-destination ¥ª¥×¥·¥ç¥ó¤ò»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-¥¢¥É¥ì¥¹¤ÎÈϰϤˤè¤Ã¤Æ¡¢
-¤â¤·¤¯¤ÏÊ£¿ô¤Î --to-destination ¥ª¥×¥·¥ç¥ó¤Ë¤è¤Ã¤Æ
-2 ¤Ä°Ê¾å¤ÎÁ÷¿®À襢¥É¥ì¥¹¤ò»ØÄꤷ¤¿¾ì¹ç¡¢
-¤½¤ì¤é¤Î¥¢¥É¥ì¥¹¤ò»È¤Ã¤¿Ã±½ã¤Ê¥é¥¦¥ó¥É¡¦¥í¥Ó¥ó
-(½ç¡¹¤Ë½Û´Ä¤µ¤»¤ë) ¤¬¤ª¤³¤Ê¤ï¤ì¤ë¡£
+複数の --to-destination オプションを指定することができる。
+アドレスの範囲によって、
+もしくは複数の --to-destination オプションによって
+2 つ以上の送信先アドレスを指定した場合、
+それらのアドレスを使った単純なラウンド・ロビン
+(順々に循環させる) がおこなわれる。
.RE
.SS DSCP
.\"O This target allows to alter the value of the DSCP bits within the TOS
.\"O header of the IPv4 packet. As this manipulates a packet, it can only
.\"O be used in the mangle table.
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¡¢IPv4 ¥Ñ¥±¥Ã¥È¤Î TOS ¥Ø¥Ã¥À¡¼¤Ë¤¢¤ë
-DSCP ¥Ó¥Ã¥È¤ÎÃͤνñ¤´¹¤¨¤ò²Äǽ¤Ë¤¹¤ë¡£
-¤³¤ì¤Ï¥Ñ¥±¥Ã¥È¤òÁàºî¤¹¤ë¤Î¤Ç¡¢mangle ¥Æ¡¼¥Ö¥ë¤Ç¤Î¤ß»ÈÍѤǤ¤ë¡£
+このターゲットは、IPv4 パケットの TOS ヘッダーにある
+DSCP ビットの値の書き換えを可能にする。
+これはパケットを操作するので、mangle テーブルでのみ使用できる。
.TP
.BI "--set-dscp " "value"
.\"O Set the DSCP field to a numerical value (can be decimal or hex)
-DSCP ¥Õ¥£¡¼¥ë¥É¤Î¿ôÃͤòÀßÄꤹ¤ë (10 ¿Ê¤Þ¤¿¤Ï 16 ¿Ê)¡£
+DSCP フィールドの数値を設定する (10 進または 16 進)。
.TP
.BI "--set-dscp-class " "class"
.\"O Set the DSCP field to a DiffServ class.
-DSCP ¥Õ¥£¡¼¥ë¥É¤Î DiffServ ¥¯¥é¥¹¤òÀßÄꤹ¤ë¡£
+DSCP フィールドの DiffServ クラスを設定する。
.SS ECN
.\"O This target allows to selectively work around known ECN blackholes.
.\"O It can only be used in the mangle table.
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï ECN ¥Ö¥é¥Ã¥¯¥Û¡¼¥ëÌäÂê¤Ø¤ÎÂнè¤ò²Äǽ¤Ë¤¹¤ë¡£
-mangle ¥Æ¡¼¥Ö¥ë¤Ç¤Î¤ß»ÈÍѤǤ¤ë¡£
+このターゲットは ECN ブラックホール問題への対処を可能にする。
+mangle テーブルでのみ使用できる。
.TP
.BI "--ecn-tcp-remove"
.\"O Remove all ECN bits from the TCP header. Of course, it can only be used
.\"O in conjunction with
.\"O .BR "-p tcp" .
-TCP ¥Ø¥Ã¥À¡¼¤«¤éÁ´¤Æ¤Î ECN ¥Ó¥Ã¥È (ÌõÃí: ECE/CWR ¥Õ¥é¥°) ¤ò¼è¤ê½ü¤¯¡£
-ÅöÁ³¡¢
+TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。
+当然、
.B "-p tcp"
-¥ª¥×¥·¥ç¥ó¤È¤ÎÁȹç¤ï¤»¤Ç¤Î¤ß»ÈÍѤǤ¤ë¡£
+オプションとの組合わせでのみ使用できる。
.SS LOG
.\"O Turn on kernel logging of matching packets. When this option is set
.\"O for a rule, the Linux kernel will print some information on all
.\"O .I dmesg
.\"O or
.\"O .IR syslogd (8)).
-¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤ò¥«¡¼¥Í¥ë¥í¥°¤ËµÏ¿¤¹¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¥ë¡¼¥ë¤ËÂФ·¤ÆÀßÄꤵ¤ì¤ë¤È¡¢
-Linux ¥«¡¼¥Í¥ë¤Ï¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤Ë¤Ä¤¤¤Æ¤Î
-(ÂçÉôʬ¤Î IP ¥Ø¥Ã¥À¡¼¥Õ¥£¡¼¥ë¥É¤Î¤è¤¦¤Ê) ²¿¤é¤«¤Î¾ðÊó¤ò
-¥«¡¼¥Í¥ë¥í¥°¤Ëɽ¼¨¤¹¤ë
-(¥«¡¼¥Í¥ë¥í¥°¤Ï
+マッチしたパケットをカーネルログに記録する。
+このオプションがルールに対して設定されると、
+Linux カーネルはマッチしたパケットについての
+(大部分の IP ヘッダーフィールドのような) 何らかの情報を
+カーネルログに表示する
+(カーネルログは
.I dmesg
-¤Þ¤¿¤Ï
+または
.IR syslogd (8)
-¤Ç¸«¤ë¤³¤È¤¬¤Ç¤¤ë)¡£
+で見ることができる)。
.\"O This is a "non-terminating target", i.e. rule traversal continues at
.\"O the next rule. So if you want to LOG the packets you refuse, use two
.\"O separate rules with the same matching criteria, first using target LOG
.\"O then DROP (or REJECT).
-¤³¤ì¤Ï "Èó½ªÎ»¥¿¡¼¥²¥Ã¥È" ¤Ç¤¢¤ë¡£
-¤¹¤Ê¤ï¤Á¡¢¥ë¡¼¥ë¤Î¸¡Æ¤¤Ï¡¢¼¡¤Î¥ë¡¼¥ë¤Ø¤È·Ñ³¤µ¤ì¤ë¡£
-¤è¤Ã¤Æ¡¢µñÈݤ¹¤ë¥Ñ¥±¥Ã¥È¤ò¥í¥°µÏ¿¤·¤¿¤±¤ì¤Ð¡¢
-Ʊ¤¸¥Þ¥Ã¥Á¥ó¥°È½ÃÇ´ð½à¤ò»ý¤Ä 2 ¤Ä¤Î¥ë¡¼¥ë¤ò»ÈÍѤ·¡¢
-ºÇ½é¤Î¥ë¡¼¥ë¤Ç LOG ¥¿¡¼¥²¥Ã¥È¤ò¡¢
-¼¡¤Î¥ë¡¼¥ë¤Ç DROP (¤Þ¤¿¤Ï REJECT) ¥¿¡¼¥²¥Ã¥È¤ò»ØÄꤹ¤ë¡£
+これは "非終了ターゲット" である。
+すなわち、ルールの検討は、次のルールへと継続される。
+よって、拒否するパケットをログ記録したければ、
+同じマッチング判断基準を持つ 2 つのルールを使用し、
+最初のルールで LOG ターゲットを、
+次のルールで DROP (または REJECT) ターゲットを指定する。
.TP
.BI "--log-level " "level"
.\"O Level of logging (numeric or see \fIsyslog.conf\fP(5)).
-¥í¥°µÏ¿¤Î¥ì¥Ù¥ë (¿ôÃͤƻØÄꤹ¤ë¤«¡¢
-(ÌõÃð: ̾Á°¤Ç»ØÄꤹ¤ë¾ì¹ç¤Ï) \fIsyslog.conf\fP(5) ¤ò»²¾È¤¹¤ë¤³¤È)¡£
+ログ記録のレベル (数値て指定するか、
+(訳註: 名前で指定する場合は) \fIsyslog.conf\fP(5) を参照すること)。
.TP
.BI "--log-prefix " "prefix"
.\"O Prefix log messages with the specified prefix; up to 29 letters long,
.\"O and useful for distinguishing messages in the logs.
-»ØÄꤷ¤¿¥×¥ì¥Õ¥£¥Ã¥¯¥¹¤ò¥í¥°¥á¥Ã¥»¡¼¥¸¤ÎÁ°¤ËÉÕ¤±¤ë¡£
-¥×¥ì¥Õ¥£¥Ã¥¯¥¹¤Ï 29 ʸ»ú¤Þ¤Ç¤ÎŤµ¤Ç¡¢
-¥í¥°¤ÎÃæ¤Ç¥á¥Ã¥»¡¼¥¸¤ò¶èÊ̤¹¤ë¤Î¤ËÌòΩ¤Ä¡£
+指定したプレフィックスをログメッセージの前に付ける。
+プレフィックスは 29 文字までの長さで、
+ログの中でメッセージを区別するのに役立つ。
.TP
.B --log-tcp-sequence
.\"O Log TCP sequence numbers. This is a security risk if the log is
.\"O readable by users.
-TCP ¥·¡¼¥±¥ó¥¹ÈÖ¹æ¤ò¥í¥°¤ËµÏ¿¤¹¤ë¡£
-¥í¥°¤¬¥æ¡¼¥¶¡¼¤«¤éÆɤá¤ë¾ì¹ç¡¢¥»¥¥å¥ê¥Æ¥£¾å¤Î´í¸±¤¬¤¢¤ë¡£
+TCP シーケンス番号をログに記録する。
+ログがユーザーから読める場合、セキュリティ上の危険がある。
.TP
.B --log-tcp-options
.\"O Log options from the TCP packet header.
-TCP ¥Ñ¥±¥Ã¥È¥Ø¥Ã¥À¡¼¤Î¥ª¥×¥·¥ç¥ó¤ò¥í¥°¤ËµÏ¿¤¹¤ë¡£
+TCP パケットヘッダーのオプションをログに記録する。
.TP
.B --log-ip-options
.\"O Log options from the IP packet header.
-IP ¥Ñ¥±¥Ã¥È¥Ø¥Ã¥À¡¼¤Î¥ª¥×¥·¥ç¥ó¤ò¥í¥°¤ËµÏ¿¤¹¤ë¡£
+IP パケットヘッダーのオプションをログに記録する。
.SS MARK
.\"O This is used to set the netfilter mark value associated with the
.\"O packet. It is only valid in the
.\"O .B mangle
.\"O table. It can for example be used in conjunction with iproute2.
-¥Ñ¥±¥Ã¥È¤Ë´ØÏ¢¤Å¤±¤é¤ì¤¿ netfilter ¤Î mark ÃͤòÀßÄꤹ¤ë¡£
+パケットに関連づけられた netfilter の mark 値を設定する。
.B mangle
-¥Æ¡¼¥Ö¥ë¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
-Î㤨¤Ð¡¢iproute2 ¤ÈÁȤ߹ç¤ï¤»¤Æ»È¤¦¤³¤È¤¬¤Ç¤¤ë¡£
+テーブルのみで有効である。
+例えば、iproute2 と組み合わせて使うことができる。
.TP
.BI "--set-mark " "mark"
.SS MASQUERADE
.\"O table, in the
.\"O .B POSTROUTING
.\"O chain.
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï
+このターゲットは
.B nat
-¥Æ¡¼¥Ö¥ë¤Î
+テーブルの
.B POSTROUTING
-¥Á¥§¥¤¥ó¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
+チェインのみで有効である。
.\"O It should only be used with dynamically assigned IP (dialup)
.\"O connections: if you have a static IP address, you should use the SNAT
.\"O target.
-ưŪ³ä¤êÅö¤Æ IP (¥À¥¤¥ä¥ë¥¢¥Ã¥×) Àܳ¤Î¾ì¹ç¤Ë¤Î¤ß»È¤¦¤Ù¤¤Ç¤¢¤ë¡£
-¸ÇÄê IP ¥¢¥É¥ì¥¹¤Ê¤é¤Ð¡¢SNAT ¥¿¡¼¥²¥Ã¥È¤ò»È¤¦¤Ù¤¤Ç¤¢¤ë¡£
+動的割り当て IP (ダイヤルアップ) 接続の場合にのみ使うべきである。
+固定 IP アドレスならば、SNAT ターゲットを使うべきである。
.\"O Masquerading is equivalent to specifying a mapping to the IP
.\"O address of the interface the packet is going out, but also has the
.\"O effect that connections are
.\"O .I forgotten
.\"O when the interface goes down.
-¥Þ¥¹¥«¥ì¡¼¥Ç¥£¥ó¥°¤Ï¡¢¥Ñ¥±¥Ã¥È¤¬Á÷¿®¤µ¤ì¤ë¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤Î
-IP ¥¢¥É¥ì¥¹¤Ø¤Î¥Þ¥Ã¥Ô¥ó¥°¤ò»ØÄꤹ¤ë¤Î¤ÈƱ¤¸¤Ç¤¢¤ë¤¬¡¢
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤¬Ää»ß¤·¤¿¾ì¹ç¤ËÀܳ¤ò\fI˺¤ì¤ë\fR¤È¤¤¤¦¸ú²Ì¤¬¤¢¤ë¡£
+マスカレーディングは、パケットが送信されるインターフェースの
+IP アドレスへのマッピングを指定するのと同じであるが、
+インターフェースが停止した場合に接続を\fI忘れる\fRという効果がある。
.\"O This is the correct behavior when the
.\"O next dialup is unlikely to have the same interface address (and hence
.\"O any established connections are lost anyway). It takes one option:
-¼¡¤Î¥À¥¤¥ä¥ë¥¢¥Ã¥×¤Ç¤ÏƱ¤¸¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¥¢¥É¥ì¥¹¤Ë¤Ê¤ë²ÄǽÀ¤¬Ä㤤
-(¤½¤Î¤¿¤á¡¢Á°²ó³ÎΩ¤µ¤ì¤¿Àܳ¤Ï¼º¤ï¤ì¤ë) ¾ì¹ç¡¢
-¤³¤ÎÆ°ºî¤ÏÀµ¤·¤¤¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬ 1 ¤Ä¤¢¤ë¡£
+次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い
+(そのため、前回確立された接続は失われる) 場合、
+この動作は正しい。
+このターゲットにはオプションが 1 つある。
.TP
.BR "--to-ports " "\fIport\fP[-\fIport\fP]"
.\"O This specifies a range of source ports to use, overriding the default
.\"O .B "-p tcp"
.\"O or
.\"O .BR "-p udp" .
-¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢»ÈÍѤ¹¤ëÁ÷¿®¸µ¥Ý¡¼¥È¤ÎÈϰϤò»ØÄꤷ¡¢
-¥Ç¥Õ¥©¥ë¥È¤Î
+このオプションは、使用する送信元ポートの範囲を指定し、
+デフォルトの
.B SNAT
-Á÷¿®¸µ¥Ý¡¼¥È¤ÎÁªÂòÊýË¡ (¾åµ) ¤è¤ê¤âÍ¥À褵¤ì¤ë¡£
-¥ë¡¼¥ë¤¬
+送信元ポートの選択方法 (上記) よりも優先される。
+ルールが
.B "-p tcp"
-¤Þ¤¿¤Ï
+または
.B "-p udp"
-¤ò»ØÄꤷ¤Æ¤¤¤ë¾ì¹ç¤Ë¤Î¤ß͸ú¤Ç¤¢¤ë¡£
+を指定している場合にのみ有効である。
.SS MIRROR
.\"O This is an experimental demonstration target which inverts the source
.\"O and destination fields in the IP header and retransmits the packet.
-¼Â¸³Åª¤Ê¥Ç¥â¥ó¥¹¥È¥ì¡¼¥·¥ç¥óÍѤΥ¿¡¼¥²¥Ã¥È¤Ç¤¢¤ê¡¢
-IP ¥Ø¥Ã¥À¡¼¤ÎÁ÷¿®¸µ¤ÈÁ÷¿®Àè¥Õ¥£¡¼¥ë¥É¤òÆþ¤ì´¹¤¨¡¢
-¥Ñ¥±¥Ã¥È¤òºÆÁ÷¿®¤¹¤ë¤â¤Î¤Ç¤¢¤ë¡£
+実験的なデモンストレーション用のターゲットであり、
+IP ヘッダーの送信元と送信先フィールドを入れ換え、
+パケットを再送信するものである。
.\"O It is only valid in the
.\"O .BR INPUT ,
.\"O .B FORWARD
.\"O .B PREROUTING
.\"O chains, and user-defined chains which are only called from those
.\"O chains.
-¤³¤ì¤Ï
+これは
.BR INPUT ,
.BR FORWARD ,
.B PREROUTING
-¥Á¥§¥¤¥ó¤È¡¢¤³¤ì¤é¤Î¥Á¥§¥¤¥ó¤«¤é¸Æ¤Ó½Ð¤µ¤ì¤ë
-¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤À¤±¤Ç͸ú¤Ç¤¢¤ë¡£
+チェインと、これらのチェインから呼び出される
+ユーザー定義チェインだけで有効である。
.\"O Note that the outgoing packets are
.\"O .B NOT
.\"O seen by any packet filtering chains, connection tracking or NAT, to
.\"O avoid loops and other problems.
-¥ë¡¼¥×Åù¤ÎÌäÂê¤ò²óÈò¤¹¤ë¤¿¤á¡¢³°Éô¤ËÁ÷¤é¤ì¤ë¥Ñ¥±¥Ã¥È¤Ï
-¤¤¤«¤Ê¤ë¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¥ê¥ó¥°¥Á¥§¥¤¥ó¡¦ÀܳÄÉÀס¦NAT ¤«¤é¤â
-´Æ»ë\fB¤µ¤ì¤Ê¤¤\fR¡£
+ループ等の問題を回避するため、外部に送られるパケットは
+いかなるパケットフィルタリングチェイン・接続追跡・NAT からも
+監視\fBされない\fR。
.SS REDIRECT
.\"O This target is only valid in the
.\"O .B nat
.\"O chains. It alters the destination IP address to send the packet to
.\"O the machine itself (locally-generated packets are mapped to the
.\"O 127.0.0.1 address). It takes one option:
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¡¢
+このターゲットは、
.B nat
-¥Æ¡¼¥Ö¥ëÆâ¤Î
+テーブル内の
.B PREROUTING
-¥Á¥§¥¤¥óµÚ¤Ó
+チェイン及び
.B OUTPUT
-¥Á¥§¥¤¥ó¡¢¤½¤·¤Æ¤³¤ì¤é¥Á¥§¥¤¥ó¤«¤é¸Æ¤Ó½Ð¤µ¤ì¤ë
-¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤Ç¤Î¤ß͸ú¤Ç¤¢¤ë¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¥Ñ¥±¥Ã¥È¤ÎÁ÷¿®Àè IP ¥¢¥É¥ì¥¹¤ò
-¥Þ¥·¥ó¼«¿È¤Î IP ¥¢¥É¥ì¥¹¤ËÊÑ´¹¤¹¤ë¡£
-(¥í¡¼¥«¥ë¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤Ï¡¢¥¢¥É¥ì¥¹ 127.0.0.1 ¤Ë¥Þ¥Ã¥×¤µ¤ì¤ë)¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬ 1 ¤Ä¤¢¤ë:
+チェイン、そしてこれらチェインから呼び出される
+ユーザー定義チェインでのみ有効である。
+このターゲットはパケットの送信先 IP アドレスを
+マシン自身の IP アドレスに変換する。
+(ローカルで生成されたパケットは、アドレス 127.0.0.1 にマップされる)。
+このターゲットにはオプションが 1 つある:
.TP
.BR "--to-ports " "\fIport\fP[-\fIport\fP]"
.\"O This specifies a destination port or range of ports to use: without
.\"O .B "-p tcp"
.\"O or
.\"O .BR "-p udp" .
-¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï»ÈÍѤµ¤ì¤ëÁ÷¿®Àè¥Ý¡¼¥È¡¦¥Ý¡¼¥ÈÈÏ°Ï¡¦Ê£¿ô¥Ý¡¼¥È¤ò»ØÄꤹ¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¡¢Á÷¿®Àè¥Ý¡¼¥È¤ÏÊѹ¹¤µ¤ì¤Ê¤¤¡£
-¥ë¡¼¥ë¤¬
+このオプションは使用される送信先ポート・ポート範囲・複数ポートを指定する。
+このオプションが指定されない場合、送信先ポートは変更されない。
+ルールが
.B "-p tcp"
-¤Þ¤¿¤Ï
+または
.B "-p udp"
-¤ò»ØÄꤷ¤Æ¤¤¤ë¾ì¹ç¤Ë¤Î¤ß͸ú¤Ç¤¢¤ë¡£
+を指定している場合にのみ有効である。
.SS REJECT
.\"O This is used to send back an error packet in response to the matched
.\"O packet: otherwise it is equivalent to
.\"O .B DROP
.\"O so it is a terminating TARGET, ending rule traversal.
-¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤Î±þÅú¤È¤·¤Æ¥¨¥é¡¼¥Ñ¥±¥Ã¥È¤òÁ÷¿®¤¹¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
-¥¨¥é¡¼¥Ñ¥±¥Ã¥È¤òÁ÷¤é¤Ê¤±¤ì¤Ð¡¢
+マッチしたパケットの応答としてエラーパケットを送信するために使われる。
+エラーパケットを送らなければ、
.B DROP
-¤ÈƱ¤¸¤Ç¤¢¤ê¡¢TARGET ¤ò½ªÎ»¤·¡¢¥ë¡¼¥ë¤Î¸¡Æ¤¤ò½ªÎ»¤¹¤ë¡£
+と同じであり、TARGET を終了し、ルールの検討を終了する。
.\"O This target is only valid in the
.\"O .BR INPUT ,
.\"O .B FORWARD
.\"O chains, and user-defined chains which are only called from those
.\"O chains. The following option controls the nature of the error packet
.\"O returned:
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¡¢
+このターゲットは、
.BR INPUT ,
.BR FORWARD ,
.B OUTPUT
-¥Á¥§¥¤¥ó¤È¡¢¤³¤ì¤é¤Î¥Á¥§¥¤¥ó¤«¤é¸Æ¤Ð¤ì¤ë
-¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤À¤±¤Ç͸ú¤Ç¤¢¤ë¡£
-°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢ÊÖ¤µ¤ì¤ë¥¨¥é¡¼¥Ñ¥±¥Ã¥È¤ÎÆÃÀ¤òÀ©¸æ¤¹¤ë¡£
+チェインと、これらのチェインから呼ばれる
+ユーザー定義チェインだけで有効である。
+以下のオプションは、返されるエラーパケットの特性を制御する。
.TP
.BI "--reject-with " "type"
.\"O The type given can be
.\"O .fi
.\"O which return the appropriate ICMP error message (\fBport-unreachable\fP is
.\"O the default).
-type ¤È¤·¤Æ»ØÄê²Äǽ¤Ê¤â¤Î¤Ï
+type として指定可能なものは
.nf
.B " icmp-net-unreachable"
.B " icmp-host-unreachable"
.B " icmp-host-prohibited or"
.B " icmp-admin-prohibited (*)"
.fi
-¤Ç¤¢¤ê¡¢Å¬ÀÚ¤Ê ICMP ¥¨¥é¡¼¥á¥Ã¥»¡¼¥¸¤òÊÖ¤¹
+であり、適切な ICMP エラーメッセージを返す
.RB ( port-unreachable
-¤¬¥Ç¥Õ¥©¥ë¥È¤Ç¤¢¤ë)¡£
+がデフォルトである)。
.\"O The option
.\"O .B tcp-reset
.\"O can be used on rules which only match the TCP protocol: this causes a
.\"O .I ident
.\"O (113/tcp) probes which frequently occur when sending mail to broken mail
.\"O hosts (which won't accept your mail otherwise).
-TCP ¥×¥í¥È¥³¥ë¤Ë¤Î¤ß¥Þ¥Ã¥Á¤¹¤ë¥ë¡¼¥ë¤ËÂФ·¤Æ¡¢¥ª¥×¥·¥ç¥ó
+TCP プロトコルにのみマッチするルールに対して、オプション
.B tcp-reset
-¤ò»È¤¦¤³¤È¤¬¤Ç¤¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤ò»È¤¦¤È¡¢TCP RST ¥Ñ¥±¥Ã¥È¤¬Á÷¤êÊÖ¤µ¤ì¤ë¡£
-¼ç¤È¤·¤Æ
+を使うことができる。
+このオプションを使うと、TCP RST パケットが送り返される。
+主として
.I ident
-(113/tcp) ¤Ë¤è¤ëõºº¤òÁ˻ߤ¹¤ë¤Î¤ËÌòΩ¤Ä¡£
+(113/tcp) による探査を阻止するのに役立つ。
.I ident
-¤Ë¤è¤ëõºº¤Ï¡¢²õ¤ì¤Æ¤¤¤ë (¥á¡¼¥ë¤ò¼õ¤±¼è¤é¤Ê¤¤) ¥á¡¼¥ë¥Û¥¹¥È¤Ë
-¥á¡¼¥ë¤¬Á÷¤é¤ì¤ë¾ì¹ç¤ËÉÑÈˤ˵¯¤³¤ë¡£
+による探査は、壊れている (メールを受け取らない) メールホストに
+メールが送られる場合に頻繁に起こる。
.\"O .TP
.\"O (*) Using icmp-admin-prohibited with kernels that do not support it will result in a plain DROP instead of REJECT
.RS
.PP
-(*) icmp-admin-prohibited ¤ò¥µ¥Ý¡¼¥È¤·¤Ê¤¤¥«¡¼¥Í¥ë¤Ç¡¢
-icmp-admin-prohibited ¤ò»ÈÍѤ¹¤ë¤È¡¢
-REJECT ¤Ç¤Ï¤Ê¤¯Ã±¤Ê¤ë DROP ¤Ë¤Ê¤ë¡£
+(*) icmp-admin-prohibited をサポートしないカーネルで、
+icmp-admin-prohibited を使用すると、
+REJECT ではなく単なる DROP になる。
.SS SNAT
.\"O This target is only valid in the
.\"O .B nat
.\"O modified (and all future packets in this connection will also be
.\"O mangled), and rules should cease being examined. It takes one type
.\"O of option:
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï
+このターゲットは
.B nat
-¥Æ¡¼¥Ö¥ë¤Î
+テーブルの
.B POSTROUTING
-¥Á¥§¥¤¥ó¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¥Ñ¥±¥Ã¥È¤ÎÁ÷¿®¸µ¥¢¥É¥ì¥¹¤ò½¤Àµ¤µ¤»¤ë
-(¤³¤ÎÀܳ¤Î°Ê¹ß¤Î¥Ñ¥±¥Ã¥È¤â½¤Àµ¤·¤Æʬ¤«¤é¤Ê¤¯ (mangle) ¤¹¤ë)¡£
-¤µ¤é¤Ë¡¢¥ë¡¼¥ë¤¬É¾²Á¤òÃæ»ß¤¹¤ë¤è¤¦¤Ë»Ø¼¨¤¹¤ë¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬ 1 ¼ïÎढ¤ë:
+チェインのみで有効である。
+このターゲットはパケットの送信元アドレスを修正させる
+(この接続の以降のパケットも修正して分からなく (mangle) する)。
+さらに、ルールが評価を中止するように指示する。
+このターゲットにはオプションが 1 種類ある:
.TP
.BR "--to-source " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]"
.\"O which can specify a single new source IP address, an inclusive range
.\"O .B "-p tcp"
.\"O or
.\"O .BR "-p udp" ).
-1 ¤Ä¤Î¿·¤·¤¤Á÷¿®¸µ IP ¥¢¥É¥ì¥¹¡¢¤Þ¤¿¤Ï IP ¥¢¥É¥ì¥¹¤ÎÈϰϤ¬»ØÄê¤Ç¤¤ë¡£
-¥Ý¡¼¥È¤ÎÈϰϤò»ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë
-(¥ë¡¼¥ë¤¬
+1 つの新しい送信元 IP アドレス、または IP アドレスの範囲が指定できる。
+ポートの範囲を指定することもできる
+(ルールが
.B "-p tcp"
-¤Þ¤¿¤Ï
+または
.B "-p udp"
-¤ò»ØÄꤷ¤Æ¤¤¤ë¾ì¹ç¤Ë¤Î¤ß͸ú)¡£
+を指定している場合にのみ有効)。
.\"O If no port range is specified, then source ports below 512 will be
.\"O mapped to other ports below 512: those between 512 and 1023 inclusive
.\"O will be mapped to ports below 1024, and other ports will be mapped to
.\"O 1024 or above. Where possible, no port alteration will occur.
-¥Ý¡¼¥È¤ÎÈϰϤ¬»ØÄꤵ¤ì¤Æ¤¤¤Ê¤¤¾ì¹ç¡¢
-512 ̤Ëþ¤ÎÁ÷¿®¸µ¥Ý¡¼¥È¤Ï¡¢Â¾¤Î 512 ̤Ëþ¤Î¥Ý¡¼¥È¤Ë¥Þ¥Ã¥Ô¥ó¥°¤µ¤ì¤ë¡£
-512 ¡Á 1023 ¤Þ¤Ç¤Î¥Ý¡¼¥È¤Ï¡¢1024 ̤Ëþ¤Î¥Ý¡¼¥È¤Ë¥Þ¥Ã¥Ô¥ó¥°¤µ¤ì¤ë¡£
-¤½¤ì°Ê³°¤Î¥Ý¡¼¥È¤Ï¡¢1024 °Ê¾å¤Î¥Ý¡¼¥È¤Ë¥Þ¥Ã¥Ô¥ó¥°¤µ¤ì¤ë¡£
-²Äǽ¤Ç¤¢¤ì¤Ð¡¢¥Ý¡¼¥È¤ÎÊÑ´¹¤Ïµ¯¤³¤é¤Ê¤¤¡£
+ポートの範囲が指定されていない場合、
+512 未満の送信元ポートは、他の 512 未満のポートにマッピングされる。
+512 〜 1023 までのポートは、1024 未満のポートにマッピングされる。
+それ以外のポートは、1024 以上のポートにマッピングされる。
+可能であれば、ポートの変換は起こらない。
.RS
.PP
.\"O You can add several --to-source options. If you specify more
.\"O than one source address, either via an address range or multiple
.\"O --to-source options, a simple round-robin (one after another in
.\"O cycle) takes place between these adresses.
-Ê£¿ô¤Î --to-source ¥ª¥×¥·¥ç¥ó¤ò»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-¥¢¥É¥ì¥¹¤ÎÈϰϤˤè¤Ã¤Æ¡¢
-¤â¤·¤¯¤ÏÊ£¿ô¤Î --to-source ¥ª¥×¥·¥ç¥ó¤Ë¤è¤Ã¤Æ
-2 ¤Ä°Ê¾å¤ÎÁ÷¿®¸µ¥¢¥É¥ì¥¹¤ò»ØÄꤷ¤¿¾ì¹ç¡¢
-¤½¤ì¤é¤Î¥¢¥É¥ì¥¹¤ò»È¤Ã¤¿Ã±½ã¤Ê¥é¥¦¥ó¥É¡¦¥í¥Ó¥ó
-(½ç¡¹¤Ë½Û´Ä¤µ¤»¤ë) ¤¬¤ª¤³¤Ê¤ï¤ì¤ë¡£
+複数の --to-source オプションを指定することができる。
+アドレスの範囲によって、
+もしくは複数の --to-source オプションによって
+2 つ以上の送信元アドレスを指定した場合、
+それらのアドレスを使った単純なラウンド・ロビン
+(順々に循環させる) がおこなわれる。
.SS TCPMSS
.\"O This target allows to alter the MSS value of TCP SYN packets, to control
.\"O the maximum size for that connection (usually limiting it to your
.\"O outgoing interface's MTU minus 40). Of course, it can only be used
.\"O in conjunction with
.\"O .BR "-p tcp" .
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤òÍѤ¤¤ë¤È¡¢TCP ¤Î SYN ¥Ñ¥±¥Ã¥È¤Î MSS Ãͤò½ñ¤´¹¤¨¡¢
-¤½¤Î¥³¥Í¥¯¥·¥ç¥ó¤ÎºÇÂ祵¥¤¥º
-(Ä̾ï¤Ï¡¢Á÷¿®¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤Î MTU ¤«¤é 40 °ú¤¤¤¿ÃÍ)
-¤òÀ©¸æ¤Ç¤¤ë¡£
-¤â¤Á¤í¤ó
+このターゲットを用いると、TCP の SYN パケットの MSS 値を書き換え、
+ã\81\9dã\81®ã\82³ã\83\8dã\82¯ã\82·ã\83§ã\83³ã\81®æ\9c\80大ã\82µã\82¤ã\82º
+(通常は、送信インターフェースの MTU から 40 引いた値)
+を制御できる。
+もちろん
.B "-p tcp"
-¤ÈÁȤ߹ç¤ï¤»¤Æ¤·¤«»È¤¨¤Ê¤¤¡£
+と組み合わせてしか使えない。
.\"O .br
.PP
.\"O This target is used to overcome criminally braindead ISPs or servers
.\"O problem are that everything works fine from your Linux
.\"O firewall/router, but machines behind it can never exchange large
.\"O packets:
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤ÏÈȺáŪ¤ËƬ¤Î¤¤¤«¤ì¤¿ ISP ¤ä
-ICMP Fragmentation Needed ¥Ñ¥±¥Ã¥È¤ò¥Ö¥í¥Ã¥¯¤·¤Æ¤·¤Þ¤¦¥µ¡¼¥Ð¡¼¤ò
-¾è¤ê±Û¤¨¤ë¤¿¤á¤Ë»ÈÍѤ¹¤ë¡£
-Linux ¥Õ¥¡¥¤¥¢¥¦¥©¡¼¥ë/¥ë¡¼¥¿¡¼¤Ç¤Ï²¿¤âÌäÂ꤬¤Ê¤¤¤Î¤Ë¡¢
-¤½¤³¤Ë¤Ö¤é²¼¤¬¤ë¥Þ¥·¥ó¤Ç¤Ï°Ê²¼¤Î¤è¤¦¤ËÂ礤ʥѥ±¥Ã¥È¤ò
-¤ä¤ê¤È¤ê¤Ç¤¤Ê¤¤¤È¤¤¤¦¤Î¤¬¡¢¤³¤ÎÌäÂê¤ÎÃû¸õ¤Ç¤¢¤ë¡£
+このターゲットは犯罪的に頭のいかれた ISP や
+ICMP Fragmentation Needed パケットをブロックしてしまうサーバーを
+乗り越えるために使用する。
+Linux ファイアウォール/ルーターでは何も問題がないのに、
+そこにぶら下がるマシンでは以下のように大きなパケットを
+やりとりできないというのが、この問題の兆候である。
.PD 0
.RS 0.1i
.TP 0.3i
1)
.\"O Web browsers connect, then hang with no data received.
-¥¦¥§¥Ö¡¦¥Ö¥é¥¦¥¶¤ÇÀܳ¤¬¡¢²¿¤Î¥Ç¡¼¥¿¤â¼õ¤±¼è¤é¤º¤Ë¥Ï¥ó¥°¤¹¤ë
+ウェブ・ブラウザで接続が、何のデータも受け取らずにハングする
.TP
2)
.\"O Small mail works fine, but large emails hang.
-û¤¤¥á¡¼¥ë¤ÏÌäÂê¤Ê¤¤¤¬¡¢Ä¹¤¤¥á¡¼¥ë¤¬¥Ï¥ó¥°¤¹¤ë
+短いメールは問題ないが、長いメールがハングする
.TP
3)
.\"O ssh works fine, but scp hangs after initial handshaking.
-ssh ¤ÏÌäÂê¤Ê¤¤¤¬¡¢scp ¤ÏºÇ½é¤Î¥Ï¥ó¥É¥·¥§¡¼¥¯¸å¤Ë¥Ï¥ó¥°¤¹¤ë
+ssh は問題ないが、scp は最初のハンドシェーク後にハングする
.RE
.PD
.\"O Workaround: activate this option and add a rule to your firewall
.\"O configuration like:
-²óÈòÊýË¡: ¤³¤Î¥ª¥×¥·¥ç¥ó¤ò͸ú¤Ë¤·¡¢°Ê²¼¤Î¤è¤¦¤Ê¥ë¡¼¥ë¤ò
-¥Õ¥¡¥¤¥¢¥¦¥©¡¼¥ë¤ÎÀßÄê¤ËÄɲ乤롣
+回避方法: このオプションを有効にし、以下のようなルールを
+ファイアウォールの設定に追加する。
.nf
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \\
-j TCPMSS --clamp-mss-to-pmtu
.TP
.BI "--set-mss " "value"
.\"O Explicitly set MSS option to specified value.
-MSS ¥ª¥×¥·¥ç¥ó¤ÎÃͤò»ØÄꤷ¤¿ÃͤËÀßÄꤹ¤ë¡£
+MSS オプションの値を指定した値に設定する。
.TP
.B "--clamp-mss-to-pmtu"
.\"O Automatically clamp MSS value to (path_MTU - 40).
-¼«Æ°Åª¤Ë¡¢MSS Ãͤò (path_MTU - 40) ¤Ë¶¯À©¤¹¤ë¡£
+自動的に、MSS 値を (path_MTU - 40) に強制する。
.\"O .TP
.RS
.PP
.\"O These options are mutually exclusive.
-¤³¤ì¤é¤Î¥ª¥×¥·¥ç¥ó¤Ï¤É¤Á¤é¤« 1 ¤Ä¤·¤«»ØÄê¤Ç¤¤Ê¤¤¡£
+これらのオプションはどちらか 1 つしか指定できない。
.RE
.SS TOS
.\"O This is used to set the 8-bit Type of Service field in the IP header.
.\"O It is only valid in the
.\"O .B mangle
.\"O table.
-IP ¥Ø¥Ã¥À¡¼¤Î 8 ¥Ó¥Ã¥È¤Î Type of Service ¥Õ¥£¡¼¥ë¥É¤òÀßÄꤹ¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
+IP ヘッダーの 8 ビットの Type of Service フィールドを設定するために使われる。
.B mangle
-¥Æ¡¼¥Ö¥ë¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
+テーブルのみで有効である。
.TP
.BI "--set-tos " "tos"
.\"O You can use a numeric TOS values, or use
.\"O iptables -j TOS -h
.\"O .fi
.\"O to see the list of valid TOS names.
-TOS ¤òÈÖ¹æ¤Ç»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-¤Þ¤¿¡¢
+TOS を番号で指定することができる。
+また、
.nf
iptables -j TOS -h
.fi
-¤ò¼Â¹Ô¤·¤ÆÆÀ¤é¤ì¤ë¡¢»ÈÍѲÄǽ¤Ê TOS ̾¤Î°ìÍ÷¤Ë¤¢¤ë TOS ̾¤â»ØÄê¤Ç¤¤ë¡£
+を実行して得られる、使用可能な TOS 名の一覧にある TOS 名も指定できる。
.SS ULOG
.\"O This target provides userspace logging of matching packets. When this
.\"O target is set for a rule, the Linux kernel will multicast this packet
.\"O .IR netlink
.\"O socket. One or more userspace processes may then subscribe to various
.\"O multicast groups and receive the packets.
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¡¢¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤ò
-¥æ¡¼¥¶¡¼¶õ´Ö¤Ç¥í¥°µÏ¿¤¹¤ëµ¡Ç½¤òÄ󶡤¹¤ë¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤¬¥ë¡¼¥ë¤ËÀßÄꤵ¤ì¤ë¤È¡¢
-Linux ¥«¡¼¥Í¥ë¤Ï¡¢¤½¤Î¥Ñ¥±¥Ã¥È¤ò
+このターゲットは、マッチしたパケットを
+ユーザー空間でログ記録する機能を提供する。
+このターゲットがルールに設定されると、
+Linux カーネルは、そのパケットを
.I netlink
-¥½¥±¥Ã¥È¤òÍѤ¤¤Æ¥Þ¥ë¥Á¥¥ã¥¹¥È¤¹¤ë¡£
-¤½¤·¤Æ¡¢1 ¤Ä°Ê¾å¤Î¥æ¡¼¥¶¡¼¶õ´Ö¥×¥í¥»¥¹¤¬
-¤¤¤í¤¤¤í¤Ê¥Þ¥ë¥Á¥¥ã¥¹¥È¥°¥ë¡¼¥×¤ËÅÐÏ¿¤ò¤ª¤³¤Ê¤¤¡¢
-¥Ñ¥±¥Ã¥È¤ò¼õ¿®¤¹¤ë¡£
+ソケットを用いてマルチキャストする。
+そして、1 つ以上のユーザー空間プロセスが
+いろいろなマルチキャストグループに登録をおこない、
+パケットを受信する。
.\"O Like LOG, this is a "non-terminating target", i.e. rule traversal
.\"O continues at the next rule.
-LOG ¤ÈƱÍÍ¡¢¤³¤ì¤Ï "Èó½ªÎ»¥¿¡¼¥²¥Ã¥È" ¤Ç¤¢¤ê¡¢
-¥ë¡¼¥ë¤Î¸¡Æ¤¤Ï¼¡¤Î¥ë¡¼¥ë¤Ø¤È·Ñ³¤µ¤ì¤ë¡£
+LOG と同様、これは "非終了ターゲット" であり、
+ルールの検討は次のルールへと継続される。
.TP
.BI "--ulog-nlgroup " "nlgroup"
.\"O This specifies the netlink group (1-32) to which the packet is sent.
.\"O Default value is 1.
-¥Ñ¥±¥Ã¥È¤òÁ÷¿®¤¹¤ë netlink ¥°¥ë¡¼¥× (1-32) ¤ò»ØÄꤹ¤ë¡£
-¥Ç¥Õ¥©¥ë¥È¤ÎÃÍ¤Ï 1 ¤Ç¤¢¤ë¡£
+パケットを送信する netlink グループ (1-32) を指定する。
+デフォルトの値は 1 である。
.TP
.BI "--ulog-prefix " "prefix"
.\"O Prefix log messages with the specified prefix; up to 32 characters
.\"O long, and useful for distinguishing messages in the logs.
-»ØÄꤷ¤¿¥×¥ì¥Õ¥£¥Ã¥¯¥¹¤ò¥í¥°¥á¥Ã¥»¡¼¥¸¤ÎÁ°¤ËÉÕ¤±¤ë¡£
-32 ʸ»ú¤Þ¤Ç¤Î»ØÄê¤Ç¤¤ë¡£
-¥í¥°¤ÎÃæ¤Ç¥á¥Ã¥»¡¼¥¸¤ò¶èÊ̤¹¤ë¤Î¤ËÊØÍø¤Ç¤¢¤ë¡£
+指定したプレフィックスをログメッセージの前に付ける。
+32 文字までの指定できる。
+ログの中でメッセージを区別するのに便利である。
.TP
.BI "--ulog-cprange " "size"
.\"O Number of bytes to be copied to userspace. A value of 0 always copies
.\"O the entire packet, regardless of its size. Default is 0.
-¥æ¡¼¥¶¡¼¶õ´Ö¤Ë¥³¥Ô¡¼¤¹¤ë¥Ñ¥±¥Ã¥È¤Î¥Ð¥¤¥È¿ô¡£
-Ãͤ¬ 0 ¤Î¾ì¹ç¡¢¥µ¥¤¥º¤Ë´Ø·¸¤Ê¤¯Á´¥Ñ¥±¥Ã¥È¤ò¥³¥Ô¡¼¤¹¤ë¡£
-¥Ç¥Õ¥©¥ë¥È¤Ï 0 ¤Ç¤¢¤ë¡£
+ユーザー空間にコピーするパケットのバイト数。
+値が 0 の場合、サイズに関係なく全パケットをコピーする。
+デフォルトは 0 である。
.TP
.BI "--ulog-qthreshold " "size"
.\"O Number of packet to queue inside kernel. Setting this value to, e.g. 10
.\"O netlink multipart message to userspace. Default is 1 (for backwards
.\"O compatibility).
.\"O .br
-¥«¡¼¥Í¥ëÆâÉô¤Î¥¥å¡¼¤ËÆþ¤ì¤é¤ì¤ë¥Ñ¥±¥Ã¥È¤Î¿ô¡£
-Î㤨¤Ð¡¢¤³¤ÎÃͤò 10 ¤Ë¤·¤¿¾ì¹ç¡¢
-¥«¡¼¥Í¥ëÆâÉô¤Ç 10 ¸Ä¤Î¥Ñ¥±¥Ã¥È¤ò¤Þ¤È¤á¡¢
-1 ¤Ä¤Î netlink ¥Þ¥ë¥Á¥Ñ¡¼¥È¥á¥Ã¥»¡¼¥¸¤È¤·¤Æ¥æ¡¼¥¶¡¼¶õ´Ö¤ËÁ÷¤ë¡£
-(²áµî¤Î¤â¤Î¤È¤Î¸ß´¹À¤Î¤¿¤á) ¥Ç¥Õ¥©¥ë¥È¤Ï 1 ¤Ç¤¢¤ë¡£
+カーネル内部のキューに入れられるパケットの数。
+例えば、この値を 10 にした場合、
+カーネル内部で 10 個のパケットをまとめ、
+1 つの netlink マルチパートメッセージとしてユーザー空間に送る。
+(過去のものとの互換性のため) デフォルトは 1 である。
.\"O .SH DIAGNOSTICS
-.SH ÊÖ¤êÃÍ
+.SH 返り値
.\"O Various error messages are printed to standard error. The exit code
.\"O is 0 for correct functioning. Errors which appear to be caused by
.\"O invalid or abused command line parameters cause an exit code of 2, and
.\"O other errors cause an exit code of 1.
-¤¤¤í¤¤¤í¤Ê¥¨¥é¡¼¥á¥Ã¥»¡¼¥¸¤¬É¸½à¥¨¥é¡¼¤Ëɽ¼¨¤µ¤ì¤ë¡£
-Àµ¤·¤¯µ¡Ç½¤·¤¿¾ì¹ç¡¢½ªÎ»¥³¡¼¥É¤Ï 0 ¤Ç¤¢¤ë¡£
-ÉÔÀµ¤Ê¥³¥Þ¥ó¥É¥é¥¤¥ó¥Ñ¥é¥á¡¼¥¿¤Ë¤è¤ê¥¨¥é¡¼¤¬È¯À¸¤·¤¿¾ì¹ç¤Ï¡¢
-½ªÎ»¥³¡¼¥É 2 ¤¬ÊÖ¤µ¤ì¤ë¡£
-¤½¤Î¾¤Î¥¨¥é¡¼¤Î¾ì¹ç¤Ï¡¢½ªÎ»¥³¡¼¥É 1 ¤¬ÊÖ¤µ¤ì¤ë¡£
+いろいろなエラーメッセージが標準エラーに表示される。
+正しく機能した場合、終了コードは 0 である。
+不正なコマンドラインパラメータによりエラーが発生した場合は、
+終了コード 2 が返される。
+その他のエラーの場合は、終了コード 1 が返される。
.\"O .SH BUGS
-.SH ¥Ð¥°
+.SH ã\83\90ã\82°
.\"O Bugs? What's this? ;-)
.\"O Well... the counters are not reliable on sparc64.
-¥Ð¥°? ¥Ð¥°¤Ã¤Æ²¿? ;-)
-¤¨¡¼¤È¡Ä¡¢sparc64 ¤Ç¤Ï¥«¥¦¥ó¥¿¡¼Ãͤ¬¿®Íê¤Ç¤¤Ê¤¤¡£
+バグ? バグって何? ;-)
+えーと…、sparc64 ではカウンター値が信頼できない。
.\"O .SH COMPATIBILITY WITH IPCHAINS
-.SH IPCHAINS ¤È¤Î¸ß´¹À
+.SH IPCHAINS との互換性
.\"O This
.\"O .B iptables
.\"O is very similar to ipchains by Rusty Russell. The main difference is
.\"O involves both INPUT and OUTPUT chains); previously a forwarded packet
.\"O would pass through all three.
.B iptables
-¤Ï¡¢Rusty Russell ¤Î ipchains ¤ÈÈó¾ï¤Ë¤è¤¯»÷¤Æ¤¤¤ë¡£
-Â礤ʰ㤤¤Ï¡¢¥Á¥§¥¤¥ó
+は、Rusty Russell の ipchains と非常によく似ている。
+大きな違いは、チェイン
.B INPUT
-¤È
+と
.B OUTPUT
-¤¬¡¢¤½¤ì¤¾¤ì¥í¡¼¥«¥ë¥Û¥¹¥È¤ËÆþ¤Ã¤Æ¤¯¤ë¥Ñ¥±¥Ã¥È¤È¡¢
-¥í¡¼¥«¥ë¥Û¥¹¥È¤«¤é½Ð¤µ¤ì¤ë¥Ñ¥±¥Ã¥È¤Î¤ß¤·¤«Ä´¤Ù¤Ê¤¤¤È¤¤¤¦ÅÀ¤Ç¤¢¤ë¡£
-¤è¤Ã¤Æ¡¢(INPUT ¤È OUTPUT ¤ÎξÊý¤Î¥Á¥§¥¤¥ó¤òµ¯Æ°¤¹¤ë
-¥ë¡¼¥×¥Ð¥Ã¥¯¥È¥é¥Õ¥£¥Ã¥¯¤ò½ü¤¯)
-Á´¤Æ¤Î¥Ñ¥±¥Ã¥È¤Ï 3 ¤Ä¤¢¤ë¥Á¥§¥¤¥ó¤Î¤¦¤Á 1 ¤·¤«Ä̤é¤Ê¤¤¡£
-°ÊÁ°¤Ï (ipchains ¤Ç¤Ï)¡¢
-¥Õ¥©¥ï¡¼¥É¤µ¤ì¤ë¥Ñ¥±¥Ã¥È¤Ï 3 ¤Ä¤Î¥Á¥§¥¤¥óÁ´¤Æ¤òÄ̤äƤ¤¤¿¡£
+が、それぞれローカルホストに入ってくるパケットと、
+ローカルホストから出されるパケットのみしか調べないという点である。
+よって、(INPUT と OUTPUT の両方のチェインを起動する
+ループバックトラフィックを除く)
+全てのパケットは 3 つあるチェインのうち 1 しか通らない。
+以前は (ipchains では)、
+フォワードされるパケットは 3 つのチェイン全てを通っていた。
.PP
.\"O The other main difference is that
.\"O .B -i
.\"O entering the
.\"O .B FORWARD
.\"O chain.
-¤½¤Î¾¤ÎÂ礤ʰ㤤¤Ï¡¢
+その他の大きな違いは、
.B -i
-¤ÇÆþÎÏ¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¡¢
+で入力インターフェース、
.B -o
-¤Ç½ÐÎÏ¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ò»²¾È¤¹¤ë¤³¤È¡¢
-¤½¤·¤Æ¤È¤â¤Ë
+で出力インターフェースを参照すること、
+そしてともに
.B FORWARD
-¥Á¥§¥¤¥ó¤ËÆþ¤ë¥Ñ¥±¥Ã¥È¤ËÂФ·¤Æ»ØÄê²Äǽ¤ÊÅÀ¤Ç¤¢¤ë¡£
+チェインに入るパケットに対して指定可能な点である。
.\"O .PP The various forms of NAT have been separated out;
.\"O .B iptables
.\"O is a pure packet filter when using the default `filter' table, with
.\"O -M -L
.\"O .fi
.PP
-NAT ¤Î¤¤¤í¤¤¤í¤Ê·Á¼°¤¬Ê¬³ä¤µ¤ì¤¿¡£
-¥ª¥×¥·¥ç¥ó¤Î³ÈÄ¥¥â¥¸¥å¡¼¥ë¤È¤È¤â¤Ë
-¥Ç¥Õ¥©¥ë¥È¤Î¡Ö¥Õ¥£¥ë¥¿¡×¥Æ¡¼¥Ö¥ë¤òÍѤ¤¤¿¾ì¹ç¡¢
+NAT のいろいろな形式が分割された。
+オプションの拡張モジュールとともに
+デフォルトの「フィルタ」テーブルを用いた場合、
.B iptables
-¤Ï½ã¿è¤Ê¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¤È¤Ê¤ë¡£
-¤³¤ì¤Ï¡¢°ÊÁ°¤ß¤é¤ì¤¿ IP ¥Þ¥¹¥«¥ì¡¼¥Ç¥£¥ó¥°¤È¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¥ê¥ó¥°¤Î
-Áȹ礻¤Ë¤è¤ëº®Íð¤ò´Êά²½¤¹¤ë¡£
-¤è¤Ã¤Æ¡¢¥ª¥×¥·¥ç¥ó
+は純粋なパケットフィルタとなる。
+これは、以前みられた IP マスカレーディングとパケットフィルタリングの
+組合せによる混乱を簡略化する。
+よって、オプション
.nf
-j MASQ
-M -S
-M -L
.fi
-¤ÏÊ̤Τâ¤Î¤È¤·¤Æ°·¤ï¤ì¤ë¡£
+は別のものとして扱われる。
.\"O There are several other changes in iptables.
-iptables ¤Ç¤Ï¡¢¤½¤Î¾¤Ë¤â¤¤¤¯¤Ä¤«¤ÎÊѹ¹¤¬¤¢¤ë¡£
+iptables では、その他にもいくつかの変更がある。
.\"O .SH SEE ALSO
-.SH ´ØÏ¢¹àÌÜ
+.SH 関連項目
.BR iptables-save (8),
.BR iptables-restore (8),
.BR ip6tables (8),
.\"O the netfilter-extensions-HOWTO details the extensions that are
.\"O not in the standard distribution,
.\"O and the netfilter-hacking-HOWTO details the netfilter internals.
-¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¥ê¥ó¥°¤Ë¤Ä¤¤¤Æ¤Î¾ÜºÙ¤Ê iptables ¤Î»ÈÍÑË¡¤ò
-ÀâÌÀ¤·¤Æ¤¤¤ë packet-filtering-HOWTO¡£
-NAT ¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë NAT-HOWTO¡£
-ɸ½àŪ¤ÊÇÛÉۤˤϴޤޤì¤Ê¤¤³ÈÄ¥¤Î¾ÜºÙ¤ò
-ÀâÌÀ¤·¤Æ¤¤¤ë netfilter-extensions-HOWTO¡£
-ÆâÉô¹½Â¤¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë netfilter-hacking-HOWTO¡£
+パケットフィルタリングについての詳細な iptables の使用法を
+説明している packet-filtering-HOWTO。
+NAT について詳細に説明している NAT-HOWTO。
+標準的な配布には含まれない拡張の詳細を
+説明している netfilter-extensions-HOWTO。
+内部構造について詳細に説明している netfilter-hacking-HOWTO。
.\"O .br
.PP
.\"O See
.UR http://www.netfilter.org/
.B http://www.netfilter.org/
.UE
-¤ò»²¾È¤Î¤³¤È¡£
+を参照のこと。
.\"O .SH AUTHORS
-.SH Ãø¼Ô
+.SH 著者
.\"O Rusty Russell wrote iptables, in early consultation with Michael
.\"O Neuling.
-Rusty Russell ¤Ï¡¢½é´ü¤ÎÃʳ¬¤Ç Michael Neuling ¤ËÁêÃ̤·¤Æ iptables ¤ò½ñ¤¤¤¿¡£
+Rusty Russell は、初期の段階で Michael Neuling に相談して iptables を書いた。
.PP
.\"O Marc Boucher made Rusty abandon ipnatctl by lobbying for a generic packet
.\"O selection framework in iptables, then wrote the mangle table, the owner match,
.\"O the mark stuff, and ran around doing cool stuff everywhere.
-Marc Boucher ¤Ï Rusty ¤Ë iptables ¤Î°ìÈÌŪ¤Ê¥Ñ¥±¥Ã¥ÈÁªÂò¤Î¹Í¤¨Êý¤ò´«¤á¤Æ¡¢
-ipnatctl ¤ò»ß¤á¤µ¤»¤¿¡£
-¤½¤·¤Æ¡¢mangle ¥Æ¡¼¥Ö¥ë¡¦½êͼԥޥåÁ¥ó¥°¡¦
-mark µ¡Ç½¤ò½ñ¤¡¢¤¤¤¿¤ë¤È¤³¤í¤Ç»È¤ï¤ì¤Æ¤¤¤ëÁÇÀ²¤é¤·¤¤¥³¡¼¥É¤ò½ñ¤¤¤¿¡£
+Marc Boucher は Rusty に iptables の一般的なパケット選択の考え方を勧めて、
+ipnatctl を止めさせた。
+そして、mangle テーブル・所有者マッチング・
+mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。
.PP
.\"O James Morris wrote the TOS target, and tos match.
-James Morris ¤¬ TOS ¥¿¡¼¥²¥Ã¥È¤È tos ¥Þ¥Ã¥Á¥ó¥°¤ò½ñ¤¤¤¿¡£
+James Morris が TOS ターゲットと tos マッチングを書いた。
.PP
.\"O Jozsef Kadlecsik wrote the REJECT target.
-Jozsef Kadlecsik ¤¬ REJECT ¥¿¡¼¥²¥Ã¥È¤ò½ñ¤¤¤¿¡£
+Jozsef Kadlecsik が REJECT ターゲットを書いた。
.PP
.\"O Harald Welte wrote the ULOG target, TTL, DSCP, ECN matches and targets.
-Harald Welte ¤¬ ULOG ¥¿¡¼¥²¥Ã¥È¤È¡¢
-TTL, DSCP, ECN ¤Î¥Þ¥Ã¥Á¡¦¥¿¡¼¥²¥Ã¥È¤ò½ñ¤¤¤¿¡£
+Harald Welte が ULOG ターゲットと、
+TTL, DSCP, ECN のマッチ・ターゲットを書いた。
.PP
.\"O The Netfilter Core Team is: Marc Boucher, Martin Josefsson, Jozsef Kadlecsik,
.\"O James Morris, Harald Welte and Rusty Russell.
-Netfilter ¥³¥¢¥Á¡¼¥à¤Ï¡¢Marc Boucher, Martin Josefsson, Jozsef Kadlecsik,
-James Morris, Harald Welte, Rusty Russell ¤Ç¤¢¤ë¡£
+Netfilter コアチームは、Marc Boucher, Martin Josefsson, Jozsef Kadlecsik,
+James Morris, Harald Welte, Rusty Russell である。
.PP
.\"O Man page written by Herve Eychenne <rv@wallfire.org>.
-man ¥Ú¡¼¥¸¤Ï Herve Eychenne <rv@wallfire.org> ¤¬½ñ¤¤¤¿¡£
+man ページは Herve Eychenne <rv@wallfire.org> が書いた。
.\" .. and did I mention that we are incredibly cool people?
.\" .. sexy, too ..
.\" .. witty, charming, powerful ..
.\" .. and most of all, modest ..
-.\" .. ¤½¤·¤Æ¡¢ËÍÅù¤¬¤È¤Æ¤â¥¯¡¼¥ë¤ÊÅÛ¤é¤À¤È¸À¤Ã¤Æ¤ª¤¤¤Æ¤â¤¤¤¤¤«¤Ê¡©
-.\" .. ¥»¥¯¥·¡¼¤Ç ..
-.\" .. ¤È¤Æ¤â¥¦¥£¥Ã¥È¤ËÉÙ¤ó¤Ç¤¤¤Æ¡¢¥Á¥ã¡¼¥ß¥ó¥°¤Ç¡¢¥Ñ¥ï¥Õ¥ë¤Ç ..
-.\" .. ¤½¤·¤Æ¡¢¤ß¤ó¤Ê¸¬µõ¤Ê¤ó¤À ..
+.\" .. そして、僕等がとてもクールな奴らだと言っておいてもいいかな?
+.\" .. セクシーで ..
+.\" .. とてもウィットに富んでいて、チャーミングで、パワフルで ..
+.\" .. そして、みんな謙虚なんだ ..
.\" Translated Thu May 1 16:13:34 JST 2003
.\" by Yuichi SATO <ysato444@yahoo.co.jp>
.\"
-.SH ̾Á°
-ip6tables-restore \- IPv6 ¥Æ¡¼¥Ö¥ë¤òÉü¸µ¤¹¤ë
-.SH ½ñ¼°
+.SH 名前
+ip6tables-restore \- IPv6 テーブルを復元する
+.SH 書式
.BR "ip6tables-restore " "[-c] [-n]"
.br
-.SH ÀâÌÀ
+.SH 説明
.PP
.B ip6tables-restore
-¤Ïɸ½àÆþÎϤǻØÄꤵ¤ì¤¿¥Ç¡¼¥¿¤«¤é IPv6 ¥Æ¡¼¥Ö¥ë¤òÉü¸µ¤¹¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
-¥Õ¥¡¥¤¥ë¤«¤éÆɤ߹þ¤à¤¿¤á¤Ë¤Ï¡¢
-¥·¥§¥ë¤ÇÄ󶡤µ¤ì¤Æ¤¤¤ë I/O ¥ê¥À¥¤¥ì¥¯¥·¥ç¥ó¤ò»È¤¦¤³¤È¡£
+は標準入力で指定されたデータから IPv6 テーブルを復元するために使われる。
+ファイルから読み込むためには、
+シェルで提供されている I/O リダイレクションを使うこと。
.TP
\fB\-c\fR, \fB\-\-counters\fR
-Á´¤Æ¤Î¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤ÎÃͤòÉü¸µ¤¹¤ë¡£
+全てのパケットカウンタとバイトカウンタの値を復元する。
.TP
\fB\-n\fR, \fB\-\-noflush\fR
-¤³¤ì¤Þ¤Ç¤Î¥Æ¡¼¥Ö¥ë¤ÎÆâÍƤò¥Õ¥é¥Ã¥·¥å¤·¤Ê¤¤¡£
-»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¡¢
+これまでのテーブルの内容をフラッシュしない。
+指定されない場合、
.B ip6tables-restore
-¤Ï¡¢¤³¤ì¤Þ¤Ç¤Î³Æ IPv6 ¥Æ¡¼¥Ö¥ë¤ÎÆâÍƤòÁ´¤Æ¥Õ¥é¥Ã¥·¥å (ºï½ü) ¤¹¤ë¡£
-.SH ¥Ð¥°
-iptables-1.2.1 ¥ê¥ê¡¼¥¹¤Ç¤ÏÃΤé¤ì¤Æ¤¤¤Ê¤¤¡£
-.SH Ãø¼Ô
+は、これまでの各 IPv6 テーブルの内容を全てフラッシュ (削除) する。
+.SH ã\83\90ã\82°
+iptables-1.2.1 リリースでは知られていない。
+.SH 著者
Harald Welte <laforge@gnumonks.org>
.br
Andras Kis-Szabo <kisza@sch.bme.hu>
-.SH ´ØÏ¢¹àÌÜ
+.SH 関連項目
.BR ip6tables-save "(8), " ip6tables "(8) "
.PP
-¤è¤ê¿¤¯¤Î iptables ¤Î»ÈÍÑË¡¤Ë¤Ä¤¤¤Æ
-¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë iptables-HOWTO¡£
-NAT ¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë NAT-HOWTO¡£
-ÆâÉô¹½Â¤¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë netfilter-hacking-HOWTO¡£
+より多くの iptables の使用法について
+詳細に説明している iptables-HOWTO。
+NAT について詳細に説明している NAT-HOWTO。
+内部構造について詳細に説明している netfilter-hacking-HOWTO。
.\" Translated Thu May 1 17:36:08 JST 2003
.\" by Yuichi SATO <ysato444@yahoo.co.jp>
.\"
-.SH ̾Á°
-ip6tables-save \- IPv6 ¥Æ¡¼¥Ö¥ë¤òÊݸ¤¹¤ë
-.SH ½ñ¼°
+.SH 名前
+ip6tables-save \- IPv6 テーブルを保存する
+.SH 書式
.BR "ip6tables-save " "[-c] [-t table]"
.br
-.SH ÀâÌÀ
+.SH 説明
.PP
.B ip6tables-save
-¤Ï IPv6 ¥Æ¡¼¥Ö¥ë¤ÎÆâÍƤò´Êñ¤Ë²òÀϤǤ¤ë·Á¼°¤Ç
-ɸ½à½ÐÎϤ˥À¥ó¥×¤¹¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
-¥Õ¥¡¥¤¥ë¤Ë½ñ¤½Ð¤¹¤¿¤á¤Ë¤Ï¡¢
-¥·¥§¥ë¤ÇÄ󶡤µ¤ì¤Æ¤¤¤ë I/O ¥ê¥À¥¤¥ì¥¯¥·¥ç¥ó¤ò»È¤¦¤³¤È¡£
+は IPv6 テーブルの内容を簡単に解析できる形式で
+標準出力にダンプするために使われる。
+ファイルに書き出すためには、
+シェルで提供されている I/O リダイレクションを使うこと。
.TP
\fB\-c\fR, \fB\-\-counters\fR
-Á´¤Æ¤Î¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤Î¸½ºß¤ÎÃͤò½ÐÎϤ¹¤ë¡£
+全てのパケットカウンタとバイトカウンタの現在の値を出力する。
.TP
\fB\-t\fR, \fB\-\-table\fR \fBtablename\fR
-½ÐÎϤò 1 ¤Ä¤Î¥Æ¡¼¥Ö¥ë¤Î¤ß¤ËÀ©¸Â¤¹¤ë¡£
-»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¡¢ÆÀ¤é¤ì¤¿Á´¤Æ¤Î¥Æ¡¼¥Ö¥ë¤ò½ÐÎϤ¹¤ë¡£
-.SH ¥Ð¥°
-iptables-1.2.1 ¥ê¥ê¡¼¥¹¤Ç¤ÏÃΤé¤ì¤Æ¤¤¤Ê¤¤¡£
-.SH Ãø¼Ô
+出力を 1 つのテーブルのみに制限する。
+指定されない場合、得られた全てのテーブルを出力する。
+.SH ã\83\90ã\82°
+iptables-1.2.1 リリースでは知られていない。
+.SH 著者
Harald Welte <laforge@gnumonks.org>
.br
Andras Kis-Szabo <kisza@sch.bme.hu>
-.SH ´ØÏ¢¹àÌÜ
+.SH 関連項目
.BR ip6tables-restore "(8), " ip6tables "(8) "
.PP
-¤è¤ê¿¤¯¤Î iptables ¤Î»ÈÍÑË¡¤Ë¤Ä¤¤¤Æ
-¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë iptables-HOWTO¡£
-NAT ¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë NAT-HOWTO¡£
-ÆâÉô¹½Â¤¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë netfilter-hacking-HOWTO¡£
+より多くの iptables の使用法について
+詳細に説明している iptables-HOWTO。
+NAT について詳細に説明している NAT-HOWTO。
+内部構造について詳細に説明している netfilter-hacking-HOWTO。
.\" Updated & Modified Sun Feb 8 14:05:26 JST 2004
.\" by Yuichi SATO <ysato444@yahoo.co.jp>
.\"
-.\"WORD: chain ¥Á¥§¥¤¥ó
-.\"WORD: built-in chain ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó
-.\"WORD: non-terminating target Èó½ªÎ»¥¿¡¼¥²¥Ã¥È
+.\"WORD: chain チェイン
+.\"WORD: built-in chain 組み込み済みチェイン
+.\"WORD: non-terminating target 非終了ターゲット
.\"
-.SH ̾Á°
-ip6tables \- IPv6 ¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¤ò´ÉÍý¤¹¤ë
-.SH ½ñ¼°
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -[AD] " "¥Á¥§¥¤¥ó ¥ë¡¼¥ë¤Î¾ÜºÙ [¥ª¥×¥·¥ç¥ó]"
+.SH 名前
+ip6tables \- IPv6 パケットフィルタを管理する
+.SH 書式
+.BR "ip6tables [-t テーブル] -[AD] " "チェイン ルールの詳細 [オプション]"
.br
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -I " "¥Á¥§¥¤¥ó [¥ë¡¼¥ëÈÖ¹æ] ¥ë¡¼¥ë¤Î¾ÜºÙ [¥ª¥×¥·¥ç¥ó]"
+.BR "ip6tables [-t テーブル] -I " "チェイン [ルール番号] ルールの詳細 [オプション]"
.br
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -R " "¥Á¥§¥¤¥ó ¥ë¡¼¥ëÈÖ¹æ ¥ë¡¼¥ë¤Î¾ÜºÙ [¥ª¥×¥·¥ç¥ó]"
+.BR "ip6tables [-t テーブル] -R " "チェイン ルール番号 ルールの詳細 [オプション]"
.br
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -D " "¥Á¥§¥¤¥ó ¥ë¡¼¥ëÈÖ¹æ [¥ª¥×¥·¥ç¥ó]"
+.BR "ip6tables [-t テーブル] -D " "チェイン ルール番号 [オプション]"
.br
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -[LFZ] " "[¥Á¥§¥¤¥ó] [¥ª¥×¥·¥ç¥ó]"
+.BR "ip6tables [-t テーブル] -[LFZ] " "[チェイン] [オプション]"
.br
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -N " "¥Á¥§¥¤¥ó"
+.BR "ip6tables [-t テーブル] -N " "チェイン"
.br
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -X " "[¥Á¥§¥¤¥ó]"
+.BR "ip6tables [-t テーブル] -X " "[チェイン]"
.br
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -P " "¥Á¥§¥¤¥ó ¥¿¡¼¥²¥Ã¥È [¥ª¥×¥·¥ç¥ó]"
+.BR "ip6tables [-t テーブル] -P " "チェイン ターゲット [オプション]"
.br
-.BR "ip6tables [-t ¥Æ¡¼¥Ö¥ë] -E " "µì¥Á¥§¥¤¥ó̾ ¿·¥Á¥§¥¤¥ó̾"
-.SH ÀâÌÀ
+.BR "ip6tables [-t テーブル] -E " "旧チェイン名 新チェイン名"
+.SH 説明
.B ip6tables
-¤Ï Linux ¥«¡¼¥Í¥ë¤Î IPv6 ¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¥ë¡¼¥ë¤Î¥Æ¡¼¥Ö¥ë¤ò
-ÀßÄꡦ´ÉÍý¡¦¸¡ºº¤¹¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
-Ê£¿ô¤Î°Û¤Ê¤ë¥Æ¡¼¥Ö¥ë¤¬ÄêµÁ¤µ¤ì¤ë²ÄǽÀ¤¬¤¢¤ë¡£
-³Æ¥Æ¡¼¥Ö¥ë¤ÏÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤ò´Þ¤à¡£
-¤µ¤é¤Ë¥æ¡¼¥¶¡¼ÄêµÁ¤Î¥Á¥§¥¤¥ó¤ò´Þ¤à¤³¤È¤â¤Ç¤¤ë¡£
+は Linux カーネルの IPv6 パケットフィルタルールのテーブルを
+設定・管理・検査するために使われる。
+複数の異なるテーブルが定義される可能性がある。
+各テーブルは組み込み済みチェインを含む。
+さらにユーザー定義のチェインを含むこともできる。
-³Æ¥Á¥§¥¤¥ó¤Ï¡¢¥Ñ¥±¥Ã¥È·²¤Ë¥Þ¥Ã¥Á¤¹¤ë¥ë¡¼¥ë¤Î¥ê¥¹¥È¤Ç¤¢¤ë¡£
-³Æ¥ë¡¼¥ë¤Ï¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤ËÂФ·¤Æ²¿¤ò¤¹¤ë¤«¤ò»ØÄꤹ¤ë¡£
-¤³¤ì¤Ï¡Ö¥¿¡¼¥²¥Ã¥È¡×¤È¸Æ¤Ð¤ì¡¢
-Ʊ¤¸¥Æ¡¼¥Ö¥ëÆâ¤Î¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤Ë¥¸¥ã¥ó¥×¤¹¤ë¤³¤È¤â¤¢¤ë¡£
+各チェインは、パケット群にマッチするルールのリストである。
+各ルールはマッチしたパケットに対して何をするかを指定する。
+これは「ターゲット」と呼ばれ、
+同じテーブル内のユーザー定義チェインにジャンプすることもある。
-.SH ¥¿¡¼¥²¥Ã¥È
-¥Õ¥¡¥¤¥¢¥¦¥©¡¼¥ë¤Î¥ë¡¼¥ë¤Ï¡¢¥Ñ¥±¥Ã¥È¤òȽÃǤ¹¤ë´ð½à¤È¥¿¡¼¥²¥Ã¥È¤ò»ØÄꤹ¤ë¡£
-¥Ñ¥±¥Ã¥È¤¬¥Þ¥Ã¥Á¤·¤Ê¤¤¾ì¹ç¡¢¥Á¥§¥¤¥óÆâ¤Î¼¡¤Î¥ë¡¼¥ë¤¬É¾²Á¤µ¤ì¤ë¡£
-¥Ñ¥±¥Ã¥È¤¬¥Þ¥Ã¥Á¤·¤¿¾ì¹ç¡¢
-¥¿¡¼¥²¥Ã¥È¤ÎÃͤˤè¤Ã¤Æ¼¡¤Î¥ë¡¼¥ë¤¬»ØÄꤵ¤ì¤ë¡£
-¥¿¡¼¥²¥Ã¥È¤ÎÃͤϡ¢¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤Î̾Á°¡¢¤Þ¤¿¤ÏÆÃÊ̤ÊÃÍ
+.SH ターゲット
+ファイアウォールのルールは、パケットを判断する基準とターゲットを指定する。
+パケットがマッチしない場合、チェイン内の次のルールが評価される。
+パケットがマッチした場合、
+ターゲットの値によって次のルールが指定される。
+ターゲットの値は、ユーザー定義チェインの名前、または特別な値
.IR ACCEPT ,
.IR DROP ,
.IR QUEUE ,
.I RETURN
-¤Î¤¦¤Á¤Î 1 ¤Ä¤Ç¤¢¤ë¡£
+のうちの 1 つである。
.PP
.I ACCEPT
-¤Ï¥Ñ¥±¥Ã¥È¤òÄ̤¹¤È¤¤¤¦°ÕÌ£¤Ç¤¢¤ë¡£
+はパケットを通すという意味である。
.I DROP
-¤Ï¥Ñ¥±¥Ã¥È¤ò¾²¤ËÍ (¼Î¤Æ¤ë) ¤È¤¤¤¦°ÕÌ£¤Ç¤¢¤ë¡£
+はパケットを床に落す (捨てる) という意味である。
.I QUEUE
-¤Ï¥Ñ¥±¥Ã¥È¤ò¥æ¡¼¥¶¡¼¶õ´Ö¤ËÅϤ¹¤È¤¤¤¦°ÕÌ£¤Ç¤¢¤ë
-(¥«¡¼¥Í¥ë¤¬¥µ¥Ý¡¼¥È¤·¤Æ¤¤¤ì¤Ð¤Ç¤¢¤ë¤¬)¡£
+はパケットをユーザー空間に渡すという意味である
+(カーネルがサポートしていればであるが)。
.I RETURN
-¤Ï¡¢¤³¤Î¥Á¥§¥¤¥ó¤ò¸¡Æ¤¤¹¤ë¤³¤È¤òÃæ»ß¤·¤Æ¡¢
-Á°¤Î (¸Æ¤Ó½Ð¤·Â¦) ¥Á¥§¥¤¥ó¤Î¼¡¤Î¥ë¡¼¥ë¤ÇÄä»ß¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ç¤¢¤ë¡£
-ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤ÎºÇ¸å¤ËÅþ㤷¤¿¾ì¹ç¡¢
-¤Þ¤¿¤Ï¥¿¡¼¥²¥Ã¥È
+は、このチェインを検討することを中止して、
+前の (呼び出し側) チェインの次のルールで停止するという意味である。
+組み込み済みチェインの最後に到達した場合、
+またはターゲット
.I RETURN
-¤¬´Þ¤Þ¤ì¤Æ¤¤¤ëÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤Î¥ë¡¼¥ë¤Ë¥Þ¥Ã¥Á¤·¤¿¾ì¹ç¡¢
-¥Á¥§¥¤¥ó¥Ý¥ê¥·¡¼¤Ç»ØÄꤵ¤ì¤¿¥¿¡¼¥²¥Ã¥È¤¬
-¥Ñ¥±¥Ã¥È¤Î¹ÔÊý¤ò·èÄꤹ¤ë¡£
-.SH ¥Æ¡¼¥Ö¥ë
-¸½ºß¤Î¤È¤³¤í 2 ¤Ä¤ÎÆÈΩ¤Ê¥Æ¡¼¥Ö¥ë¤¬Â¸ºß¤¹¤ë
-(¤É¤Î¥Æ¡¼¥Ö¥ë¤¬¤É¤Î»þÅÀ¤Ç¸½¤ì¤ë¤«¤Ï¡¢
-¥«¡¼¥Í¥ë¤ÎÀßÄê¤ä¤É¤¦¤¤¤Ã¤¿¥â¥¸¥å¡¼¥ë¤¬Â¸ºß¤¹¤ë¤«¤Ë°Í¸¤¹¤ë)¡£
-nat ¥Æ¡¼¥Ö¥ë¤Ï¡¢¤Þ¤À¼ÂÁõ¤µ¤ì¤Æ¤¤¤Ê¤¤¡£
+が含まれている組み込み済みチェインのルールにマッチした場合、
+チェインポリシーで指定されたターゲットが
+パケットの行方を決定する。
+.SH テーブル
+現在のところ 2 つの独立なテーブルが存在する
+(どのテーブルがどの時点で現れるかは、
+カーネルの設定やどういったモジュールが存在するかに依存する)。
+nat テーブルは、まだ実装されていない。
.TP
.BI "-t, --table " "table"
-¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢¤É¤Î¥³¥Þ¥ó¥É¤òŬÍѤ¹¤Ù¤¤«¤ò·èÄꤹ¤ë¤¿¤á¤Î
-¥Ñ¥±¥Ã¥È¥Þ¥Ã¥Á¥ó¥°¥Æ¡¼¥Ö¥ë¤ò»ØÄꤹ¤ë¡£
-¥«¡¼¥Í¥ë¤Ë¼«Æ°¥â¥¸¥å¡¼¥ë¥í¡¼¥Ç¥£¥ó¥°¤¬ÀßÄꤵ¤ì¤Æ¤¤¤ë¾ì¹ç¡¢
-¤¢¤ë¥Æ¡¼¥Ö¥ë¤ËÂФ·¤ÆŬÀڤʥ⥸¥å¡¼¥ë¤¬¤Þ¤À¥í¡¼¥É¤µ¤ì¤Æ¤¤¤Ê¤±¤ì¤Ð¡¢
-¤½¤Î¥â¥¸¥å¡¼¥ë¤Î¥í¡¼¥É¤ò¹Ô¤¦¡£
+このオプションは、どのコマンドを適用すべきかを決定するための
+パケットマッチングテーブルを指定する。
+カーネルに自動モジュールローディングが設定されている場合、
+あるテーブルに対して適切なモジュールがまだロードされていなければ、
+そのモジュールのロードを行う。
-¥Æ¡¼¥Ö¥ë¤Ï°Ê²¼¤ÎÄ̤ê¤Ç¤¢¤ë¡£
+テーブルは以下の通りである。
.RS
.TP .4i
.BR "filter" :
-(-t ¥ª¥×¥·¥ç¥ó¤¬»ØÄꤵ¤ì¤Æ¤¤¤Ê¤¤¾ì¹ç¤Ï) ¤³¤ì¤¬¥Ç¥Õ¥©¥ë¥È¤Î¥Æ¡¼¥Ö¥ë¤Ç¤¢¤ë¡£
-¤³¤ì¤Ë¤Ï
+(-t オプションが指定されていない場合は) これがデフォルトのテーブルである。
+これには
.B INPUT
-(¥Þ¥·¥ó¼«ÂΤËÆþ¤Ã¤Æ¤¯¤ë¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)¡¦
+(マシン自体に入ってくるパケットに対するチェイン)・
.B FORWARD
-(¥Þ¥·¥ó¤ò·Ðͳ¤¹¤ë¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)¡¦
+(マシンを経由するパケットに対するチェイン)・
.B OUTPUT
-(¥í¡¼¥«¥ë¥Þ¥·¥ó¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)
-¤È¤¤¤¦ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤¬´Þ¤Þ¤ì¤ë¡£
+(ローカルマシンで生成されたパケットに対するチェイン)
+という組み込み済みチェインが含まれる。
.TP
.BR "mangle" :
-¤³¤Î¥Æ¡¼¥Ö¥ë¤ÏÆÃÊ̤ʥѥ±¥Ã¥ÈÊÑ´¹¤Ë»È¤ï¤ì¤ë¡£
-¥«¡¼¥Í¥ë 2.4.17 ¤Þ¤Ç¤Ï¡¢
+このテーブルは特別なパケット変換に使われる。
+カーネル 2.4.17 までは、
.B PREROUTING
-(¥Ñ¥±¥Ã¥È¤¬Æþ¤Ã¤Æ¤¤¿¾ì¹ç¡¢
-¤¹¤°¤Ë¤½¤Î¥Ñ¥±¥Ã¥È¤òÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)¡¦
+(パケットが入ってきた場合、
+すぐにそのパケットを変換するためのチェイン)・
.B OUTPUT
-(¥í¡¼¥«¥ë¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤ò
-¥ë¡¼¥Æ¥£¥ó¥°¤ÎÁ°¤ËÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)
-¤È¤¤¤¦ 2 ¤Ä¤ÎÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤¬´Þ¤Þ¤ì¤Æ¤¤¤¿¡£
-¥«¡¼¥Í¥ë 2.4.18 ¤«¤é¤Ï¡¢¤³¤ì¤é¤Î¾¤Ë
+(ローカルで生成されたパケットを
+ルーティングの前に変換するためのチェイン)
+という 2 つの組み込み済みチェインが含まれていた。
+カーネル 2.4.18 からは、これらの他に
.B INPUT
-(¥Þ¥·¥ó¼«ÂΤËÆþ¤Ã¤Æ¤¯¤ë¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)¡¦
+(マシン自体に入ってくるパケットに対するチェイン)・
.B FORWARD
-(¥Þ¥·¥ó¤ò·Ðͳ¤¹¤ë¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)¡¦
+(マシンを経由するパケットに対するチェイン)・
.B POSTROUTING
-(¥Ñ¥±¥Ã¥È¤¬½Ð¤Æ¹Ô¤¯¤È¤¤ËÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)¡¦
-¤È¤¤¤¦ 3 ¤Ä¤ÎÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤â¥µ¥Ý¡¼¥È¤µ¤ì¤ë¡£
+(パケットが出て行くときに変換するためのチェイン)・
+という 3 つの組み込み済みチェインもサポートされる。
.RE
-.SH ¥ª¥×¥·¥ç¥ó
+.SH オプション
.B ip6tables
-¤Ç»È¤¨¤ë¥ª¥×¥·¥ç¥ó¤Ï¡¢¤¤¤¯¤Ä¤«¤Î¥°¥ë¡¼¥×¤Ëʬ¤±¤é¤ì¤ë¡£
-.SS ¥³¥Þ¥ó¥É
-¤³¤ì¤é¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢¼Â¹Ô¤¹¤ëÆÃÄê¤ÎÆ°ºî¤ò»ØÄꤹ¤ë¡£
-°Ê²¼¤ÎÀâÌÀ¤Çµö²Ä¤µ¤ì¤Æ¤¤¤Ê¤¤¸Â¤ê¡¢
-¤³¤ÎÃæ¤Î 1 ¤Ä¤·¤«¥³¥Þ¥ó¥É¥é¥¤¥ó¤Ç»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤Ê¤¤¡£
-Ť¤¥Ð¡¼¥¸¥ç¥ó¤Î¥³¥Þ¥ó¥É̾¤È¥ª¥×¥·¥ç¥ó̾¤Ï¡¢
+で使えるオプションは、いくつかのグループに分けられる。
+.SS コマンド
+これらのオプションは、実行する特定の動作を指定する。
+以下の説明で許可されていない限り、
+この中の 1 つしかコマンドラインで指定することができない。
+長いバージョンのコマンド名とオプション名は、
.B ip6tables
-¤¬Â¾¤Î¥³¥Þ¥ó¥É̾¤ä¥ª¥×¥·¥ç¥ó̾¤È¶èÊ̤Ǥ¤ëÈϰϤÇ
-(ʸ»ú¤ò¾Êά¤·¤Æ) »ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë¡£
+が他のコマンド名やオプション名と区別できる範囲で
+(文字を省略して) 指定することもできる。
.TP
.BI "-A, --append " "chain rule-specification"
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤ÎºÇ¸å¤Ë 1 ¤Ä°Ê¾å¤Î¥ë¡¼¥ë¤òÄɲ乤롣
-Á÷¿®¸µ¤äÁ÷¿®Àè¤Î̾Á°¤¬ 1 ¤Ä°Ê¾å¤Î¥¢¥É¥ì¥¹¤ËÂбþ¤·¤Æ¤¤¤ë¾ì¹ç¡¢
-²Äǽ¤Ê¥¢¥É¥ì¥¹¤ÎÁȹ礻¤Î¤½¤ì¤¾¤ì¤Ë¤Ä¤¤¤Æ¥ë¡¼¥ë¤¬Äɲ䵤ì¤ë¡£
+選択されたチェインの最後に 1 つ以上のルールを追加する。
+送信元や送信先の名前が 1 つ以上のアドレスに対応している場合、
+可能なアドレスの組合せのそれぞれについてルールが追加される。
.TP
.BI "-D, --delete " "chain rule-specification"
.ns
.TP
.BI "-D, --delete " "chain rulenum"
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤«¤é 1 ¤Ä°Ê¾å¤Î¥ë¡¼¥ë¤òºï½ü¤¹¤ë¡£
-¤³¤Î¥³¥Þ¥ó¥É¤Ë¤Ï 2 ¤Ä¤Î»È¤¤Êý¤¬¤¢¤ë:
-¥Á¥§¥¤¥ó¤ÎÃæ¤ÎÈÖ¹æ (ºÇ½é¤Î¥ë¡¼¥ë¤ò 1 ¤È¤¹¤ë) ¤ò»ØÄꤹ¤ë¾ì¹ç¤È¡¢
-¥Þ¥Ã¥Á¤¹¤ë¥ë¡¼¥ë¤ò»ØÄꤹ¤ë¾ì¹ç¤Ç¤¢¤ë¡£
+選択されたチェインから 1 つ以上のルールを削除する。
+このコマンドには 2 つの使い方がある:
+チェインの中の番号 (最初のルールを 1 とする) を指定する場合と、
+マッチするルールを指定する場合である。
.TP
.B "-I, --insert"
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤Ë¥ë¡¼¥ëÈÖ¹æ¤ò»ØÄꤷ¤Æ 1 ¤Ä°Ê¾å¤Î¥ë¡¼¥ë¤òÁÞÆþ¤¹¤ë¡£
-¥ë¡¼¥ëÈֹ椬 1 ¤Î¾ì¹ç¡¢¥ë¡¼¥ë¤Ï¥Á¥§¥¤¥ó¤ÎÀèƬ¤ËÁÞÆþ¤µ¤ì¤ë¡£
-¤³¤ì¤Ï¥ë¡¼¥ëÈֹ椬»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¤Î¥Ç¥Õ¥©¥ë¥È¤Ç¤â¤¢¤ë¡£
+選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。
+ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。
+これはルール番号が指定されない場合のデフォルトでもある。
.TP
.BI "-R, --replace " "chain rulenum rule-specification"
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤Ë¤¢¤ë¥ë¡¼¥ë¤òÃÖ¤´¹¤¨¤ë¡£
-Á÷¿®¸µ¤äÁ÷¿®Àè¤Î̾Á°¤¬ 1 ¤Ä°Ê¾å¤Î¥¢¥É¥ì¥¹¤ËÂбþ¤·¤Æ¤¤¤ë¾ì¹ç¤Ï¼ºÇÔ¤¹¤ë¡£
-¥ë¡¼¥ë¤Ë¤Ï 1 ¤«¤é»Ï¤Þ¤ëÈֹ椬ÉÕ¤±¤é¤ì¤Æ¤¤¤ë¡£
+選択されたチェインにあるルールを置き換える。
+送信元や送信先の名前が 1 つ以上のアドレスに対応している場合は失敗する。
+ルールには 1 から始まる番号が付けられている。
.TP
.BR "-L, --list " "[\fIchain\fP]"
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤Ë¤¢¤ëÁ´¤Æ¤Î¥ë¡¼¥ë¤ò°ìÍ÷ɽ¼¨¤¹¤ë¡£
-¥Á¥§¥¤¥ó¤¬»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¡¢Á´¤Æ¤Î¥Á¥§¥¤¥ó¤Ë¤¢¤ë¥ê¥¹¥È¤¬°ìÍ÷ɽ¼¨¤µ¤ì¤ë¡£
-¾¤Î³Æ iptables ¥³¥Þ¥ó¥É¤ÈƱÍͤˡ¢
-»ØÄꤵ¤ì¤¿¥Æ¡¼¥Ö¥ë (¥Ç¥Õ¥©¥ë¥È¤Ï filter) ¤ËÂФ·¤ÆºîÍѤ¹¤ë¡£
-¤è¤Ã¤Æ mangle ¥ë¡¼¥ë¤òɽ¼¨¤¹¤ë¤Ë¤Ï°Ê²¼¤Î¤è¤¦¤Ë¤¹¤ë¡£
+選択されたチェインにある全てのルールを一覧表示する。
+チェインが指定されない場合、全てのチェインにあるリストが一覧表示される。
+他の各 iptables コマンドと同様に、
+指定されたテーブル (デフォルトは filter) に対して作用する。
+よって mangle ルールを表示するには以下のようにする。
.nf
ip6tables -t mangle -n -L
.fi
-DNS ¤ÎµÕ°ú¤¤òÈò¤±¤ë¤¿¤á¤Ë¡¢¤è¤¯
+DNS の逆引きを避けるために、よく
.B -n
-¥ª¥×¥·¥ç¥ó¤È¶¦¤Ë»ÈÍѤµ¤ì¤ë¡£
+オプションと共に使用される。
.B -Z
-(¥¼¥í²½) ¥ª¥×¥·¥ç¥ó¤òƱ»þ¤Ë»ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë¡£
-¤³¤Î¾ì¹ç¡¢¥Á¥§¥¤¥ó¤ÏÍ×ÁÇËè¤Ë¥ê¥¹¥È¤µ¤ì¤Æ¡¢
-(ÌõÃð: ¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤¬) ¥¼¥í¤Ë¤µ¤ì¤ë¡£
-¤É¤Î¤è¤¦¤Ë½ÐÎϤ¹¤ë¤«¤Ï¡¢Í¿¤¨¤é¤ì¤ë¾¤Î°ú¤¿ô¤Ë±Æ¶Á¤µ¤ì¤ë¡£
+(ゼロ化) オプションを同時に指定することもできる。
+この場合、チェインは要素毎にリストされて、
+(訳註: パケットカウンタとバイトカウンタが) ゼロにされる。
+どのように出力するかは、与えられる他の引き数に影響される。
.nf
ip6tables -L -v
.fi
-¤ò»È¤ï¤Ê¤¤¸Â¤ê¡¢(ÌõÃð: -v ¥ª¥×¥·¥ç¥ó¤ò»ØÄꤷ¤Ê¤¤¸Â¤ê)
-¼ÂºÝ¤Î¥ë¡¼¥ë¤½¤Î¤â¤Î¤Ïɽ¼¨¤µ¤ì¤Ê¤¤¡£
+を使わない限り、(訳註: -v オプションを指定しない限り)
+実際のルールそのものは表示されない。
.TP
.BR "-F, --flush " "[\fIchain\fP]"
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó
-(²¿¤â»ØÄꤵ¤ì¤Ê¤±¤ì¤Ð¥Æ¡¼¥Ö¥ëÆâ¤ÎÁ´¤Æ¤Î¥Á¥§¥¤¥ó) ¤ÎÆâÍƤòÁ´¾Ãµî¤¹¤ë¡£
-¤³¤ì¤ÏÁ´¤Æ¤Î¥ë¡¼¥ë¤ò 1 ¸Ä¤º¤Äºï½ü¤¹¤ë¤Î¤ÈƱ¤¸¤Ç¤¢¤ë¡£
+選択されたチェイン
+(何も指定されなければテーブル内の全てのチェイン) の内容を全消去する。
+これは全てのルールを 1 個ずつ削除するのと同じである。
.TP
.BR "-Z, --zero " "[\fIchain\fP]"
-¤¹¤Ù¤Æ¤Î¥Á¥§¥¤¥ó¤Î¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤ò¥¼¥í¤Ë¤¹¤ë¡£
-¥¯¥ê¥¢¤µ¤ì¤ëľÁ°¤Î¥«¥¦¥ó¥¿¤ò¸«¤ë¤¿¤á¤Ë¡¢
+すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。
+クリアされる直前のカウンタを見るために、
.B "-L, --list"
-(°ìÍ÷ɽ¼¨) ¥ª¥×¥·¥ç¥ó¤ÈƱ»þ¤Ë»ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë (¾åµ¤ò»²¾È)¡£
+(一覧表示) オプションと同時に指定することもできる (上記を参照)。
.TP
.BI "-N, --new-chain " "chain"
-»ØÄꤷ¤¿Ì¾Á°¤Ç¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤òºîÀ®¤¹¤ë¡£
-Ʊ¤¸Ì¾Á°¤Î¥¿¡¼¥²¥Ã¥È¤¬´û¤Ë¸ºß¤·¤Æ¤Ï¤Ê¤é¤Ê¤¤¡£
+指定した名前でユーザー定義チェインを作成する。
+同じ名前のターゲットが既に存在してはならない。
.TP
.BR "-X, --delete-chain " "[\fIchain\fP]"
-¥ª¥×¥·¥ç¥ó¤Î¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤òºï½ü¤¹¤ë¡£
-¤½¤Î¥Á¥§¥¤¥ó¤¬»²¾È¤µ¤ì¤Æ¤¤¤Æ¤Ï¤Ê¤é¤Ê¤¤¡£
-¥Á¥§¥¤¥ó¤òºï½ü¤¹¤ëÁ°¤Ë¡¢¤½¤Î¥Á¥§¥¤¥ó¤ò»²¾È¤·¤Æ¤¤¤ë¥ë¡¼¥ë¤ò
-ºï½ü¤¹¤ë¤«ÃÖ¤´¹¤¨¤ë¤«¤·¤Ê¤±¤ì¤Ð¤Ê¤é¤Ê¤¤¡£
-°ú¤¿ô¤¬Í¿¤¨¤é¤ì¤Ê¤¤¾ì¹ç¡¢¥Æ¡¼¥Ö¥ë¤Ë¤¢¤ë¥Á¥§¥¤¥ó¤Î¤¦¤Á
-ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤Ç¤Ê¤¤¤â¤Î¤òÁ´¤Æºï½ü¤¹¤ë¡£
+オプションのユーザー定義チェインを削除する。
+そのチェインが参照されていてはならない。
+チェインを削除する前に、そのチェインを参照しているルールを
+削除するか置き換えるかしなければならない。
+引き数が与えられない場合、テーブルにあるチェインのうち
+組み込み済みチェインでないものを全て削除する。
.TP
.BI "-P, --policy " "chain target"
-¥Á¥§¥¤¥ó¤Î¥Ý¥ê¥·¡¼¤ò¡¢»ØÄꤷ¤¿¥¿¡¼¥²¥Ã¥È¤ËÀßÄꤹ¤ë¡£
-»ØÄê²Äǽ¤Ê¥¿¡¼¥²¥Ã¥È¤Ï¡Ö\fB¥¿¡¼¥²¥Ã¥È\fR¡×¤Î¾Ï¤ò»²¾È¤¹¤ë¤³¤È¡£
-(¥æ¡¼¥¶¡¼ÄêµÁ¤Ç¤Ï¤Ê¤¤) ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤Ë¤·¤«¥Ý¥ê¥·¡¼¤ÏÀßÄê¤Ç¤¤Ê¤¤¡£
-¤Þ¤¿¡¢ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤â¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤â
-¥Ý¥ê¥·¡¼¤Î¥¿¡¼¥²¥Ã¥È¤ËÀßÄꤹ¤ë¤³¤È¤Ï¤Ç¤¤Ê¤¤¡£
+チェインのポリシーを、指定したターゲットに設定する。
+指定可能なターゲットは「\fBターゲット\fR」の章を参照すること。
+(ユーザー定義ではない) 組み込み済みチェインにしかポリシーは設定できない。
+また、組み込み済みチェインもユーザー定義チェインも
+ポリシーのターゲットに設定することはできない。
.TP
.BI "-E, --rename-chain " "old-chain new-chain"
-¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤ò»ØÄꤷ¤¿Ì¾Á°¤ËÊѹ¹¤¹¤ë¡£
-¤³¤ì¤Ï¸«¤¿ÌܤÀ¤±¤ÎÊѹ¹¤Ê¤Î¤Ç¡¢¥Æ¡¼¥Ö¥ë¤Î¹½Â¤¤Ë¤Ï²¿¤â±Æ¶Á¤·¤Ê¤¤¡£
+ユーザー定義チェインを指定した名前に変更する。
+これは見た目だけの変更なので、テーブルの構造には何も影響しない。
.TP
.B -h
-¥Ø¥ë¥×¡£
-(º£¤Î¤È¤³¤í¤Ï¤È¤Æ¤â´Êñ¤Ê) ¥³¥Þ¥ó¥É½ñ¼°¤ÎÀâÌÀ¤òɽ¼¨¤¹¤ë¡£
-.SS ¥Ñ¥é¥á¡¼¥¿
-°Ê²¼¤Î¥Ñ¥é¥á¡¼¥¿¤Ï (add, delete, insert,
-replace, append ¥³¥Þ¥ó¥É¤ÇÍѤ¤¤é¤ì¤Æ) ¥ë¡¼¥ë¤Î»ÅÍͤò·è¤á¤ë¡£
+ヘルプ。
+(今のところはとても簡単な) コマンド書式の説明を表示する。
+.SS ã\83\91ã\83©ã\83¡ã\83¼ã\82¿
+以下のパラメータは (add, delete, insert,
+replace, append コマンドで用いられて) ルールの仕様を決める。
.TP
.BR "-p, --protocol " "[!] \fIprotocol\fP"
-¥ë¡¼¥ë¤Ç»È¤ï¤ì¤ë¥×¥í¥È¥³¥ë¡¢¤Þ¤¿¤Ï¥Á¥§¥Ã¥¯¤µ¤ì¤ë¥Ñ¥±¥Ã¥È¤Î¥×¥í¥È¥³¥ë¡£
-»ØÄê¤Ç¤¤ë¥×¥í¥È¥³¥ë¤Ï¡¢
+ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。
+指定できるプロトコルは、
.IR tcp ,
.IR udp ,
.IR ipv6-icmp|icmpv6 ,
.I all
-¤Î¤¤¤º¤ì¤« 1 ¤Ä¤«¡¢¿ôÃͤǤ¢¤ë¡£
-¿ôÃͤϡ¢¤³¤ì¤é¤Î¥×¥í¥È¥³¥ë¤Î 1 ¤Ä¡¢¤â¤·¤¯¤ÏÊ̤Υץí¥È¥³¥ë¤òɽ¤¹¡£
-/etc/protocols ¤Ë¤¢¤ë¥×¥í¥È¥³¥ë̾¤â»ØÄê¤Ç¤¤ë¡£
-¥×¥í¥È¥³¥ë¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢¤½¤Î¥×¥í¥È¥³¥ë¤ò»ØÄꤷ¤Ê¤¤¤È¤¤¤¦°ÕÌ£¤Ë¤Ê¤ë¡£
-¿ôÃÍ 0 ¤Ï
+のいずれか 1 つか、数値である。
+数値は、これらのプロトコルの 1 つ、もしくは別のプロトコルを表す。
+/etc/protocols にあるプロトコル名も指定できる。
+プロトコルの前に "!" を置くと、そのプロトコルを指定しないという意味になる。
+数値 0 は
.I all
-¤ÈÅù¤·¤¤¡£
-¥×¥í¥È¥³¥ë
+と等しい。
+プロトコル
.I all
-¤ÏÁ´¤Æ¤Î¥×¥í¥È¥³¥ë¤È¥Þ¥Ã¥Á¤·¡¢
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¾Êά¤µ¤ì¤¿ºÝ¤Î¥Ç¥Õ¥©¥ë¥È¤Ç¤¢¤ë¡£
+は全てのプロトコルとマッチし、
+このオプションが省略された際のデフォルトである。
.TP
.BR "-s, --source " "[!] \fIaddress\fP[/\fImask\fP]"
-Á÷¿®¸µ¤Î»ØÄê¡£
+送信元の指定。
.I address
-¤Ï¥Û¥¹¥È̾ (DNS ¤Î¤è¤¦¤Ê¥ê¥â¡¼¥È¤Ø¤ÎÌ䤤¹ç¤ï¤»¤Ç²ò·è¤¹¤ë̾Á°¤ò»ØÄꤹ¤ë¤Î¤Ï
-Èó¾ï¤ËÎɤ¯¤Ê¤¤)¡¦
-¥Í¥Ã¥È¥ï¡¼¥¯ IPv6 ¥¢¥É¥ì¥¹ (/mask ¤ò»ØÄꤹ¤ë)¡¦
-Ä̾ï¤Î IPv6 ¥¢¥É¥ì¥¹
-(º£¤Î¤È¤³¤í¡¢¥Í¥Ã¥È¥ï¡¼¥¯Ì¾¤Ï¥µ¥Ý¡¼¥È¤µ¤ì¤Æ¤¤¤Ê¤¤)¡¢¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ë¡£
+はホスト名 (DNS のようなリモートへの問い合わせで解決する名前を指定するのは
+非常に良くない)・
+ネットワーク IPv6 アドレス (/mask を指定する)・
+é\80\9a常ã\81® IPv6 ã\82¢ã\83\89ã\83¬ã\82¹
+(今のところ、ネットワーク名はサポートされていない)、のいずれかである。
.I mask
-¤Ï¥Í¥Ã¥È¥ï¡¼¥¯¥Þ¥¹¥¯¤«¡¢
-¥Í¥Ã¥È¥ï¡¼¥¯¥Þ¥¹¥¯¤Îº¸Â¦¤Ë¤¢¤ë 1 ¤Î¿ô¤ò»ØÄꤹ¤ë¿ôÃͤǤ¢¤ë¡£
-¤Ä¤Þ¤ê¡¢
+はネットワークマスクか、
+ネットワークマスクの左側にある 1 の数を指定する数値である。
+つまり、
.I 64
-¤È¤¤¤¦ mask ¤Ï
+という mask は
.I ffff:ffff:ffff:ffff:0000:0000:0000:0000
-¤ËÅù¤·¤¤¡£
-¥¢¥É¥ì¥¹»ØÄê¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢¤½¤Î¥¢¥É¥ì¥¹¤ò½ü³°¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ë¤Ê¤ë¡£
-¥Õ¥é¥°
+に等しい。
+アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。
+ã\83\95ã\83©ã\82°
.B --src
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの別名である。
.TP
.BR "-d, --destination " "[!] \fIaddress\fP[/\fImask\fP]"
-Á÷¿®Àè¤Î»ØÄê¡£
-½ñ¼°¤Î¾Ü¤·¤¤ÀâÌÀ¤Ë¤Ä¤¤¤Æ¤Ï¡¢
+送信先の指定。
+書式の詳しい説明については、
.B -s
-(Á÷¿®¸µ) ¥Õ¥é¥°¤ÎÀâÌÀ¤ò»²¾È¤¹¤ë¤³¤È¡£
-¥Õ¥é¥°
+(送信元) フラグの説明を参照すること。
+ã\83\95ã\83©ã\82°
.B --dst
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの別名である。
.TP
.BI "-j, --jump " "target"
-¥ë¡¼¥ë¤Î¥¿¡¼¥²¥Ã¥È¡¢¤Ä¤Þ¤ê¡¢
-¥Ñ¥±¥Ã¥È¤¬¥Þ¥Ã¥Á¤·¤¿¾ì¹ç¤Ë¤É¤¦¤¹¤ë¤«¤ò»ØÄꤹ¤ë¡£
-¥¿¡¼¥²¥Ã¥È¤Ï¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó
-(¤½¤Î¥ë¡¼¥ë¼«¿È¤¬Æþ¤Ã¤Æ¤¤¤ë¥Á¥§¥¤¥ó°Ê³°) ¤Ç¤â¡¢
-¥Ñ¥±¥Ã¥È¤Î¹ÔÊý¤ò¨»þ¤Ë·èÄꤹ¤ëÆÃÊ̤ÊÁȤ߹þ¤ßºÑ¤ß¥¿¡¼¥²¥Ã¥È¤Ç¤â¡¢
-³ÈÄ¥¤µ¤ì¤¿¥¿¡¼¥²¥Ã¥È (°Ê²¼¤Î
-.RB ¡Ö ¥¿¡¼¥²¥Ã¥È¤Î³ÈÄ¥ ¡×
-¤ò»²¾È) ¤Ç¤â¤è¤¤¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¥ë¡¼¥ë¤ÎÃæ¤Ç¾Êά¤µ¤ì¤¿¾ì¹ç¡¢
-¥ë¡¼¥ë¤Ë¥Þ¥Ã¥Á¤·¤Æ¤â¥Ñ¥±¥Ã¥È¤Î¹ÔÊý¤Ë²¿¤â±Æ¶Á¤·¤Ê¤¤¤¬¡¢
-¥ë¡¼¥ë¤Î¥«¥¦¥ó¥¿¤Ï 1 ¤Ä²Ã»»¤µ¤ì¤ë¡£
+ルールのターゲット、つまり、
+パケットがマッチした場合にどうするかを指定する。
+ターゲットはユーザー定義チェイン
+(そのルール自身が入っているチェイン以外) でも、
+パケットの行方を即時に決定する特別な組み込み済みターゲットでも、
+拡張されたターゲット (以下の
+.RB 「 ターゲットの拡張 」
+を参照) でもよい。
+このオプションがルールの中で省略された場合、
+ルールにマッチしてもパケットの行方に何も影響しないが、
+ルールのカウンタは 1 つ加算される。
.TP
.BR "-i, --in-interface " "[!] \fIname\fP"
.RB ( INPUT ,
.BR FORWARD ,
.B PREROUTING
-¥Á¥§¥¤¥ó¤Î¤ß¤ËÆþ¤ë) ¥Ñ¥±¥Ã¥È¤ò¼õ¿®¤¹¤ë¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¡£
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢
-¤½¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ò½ü³°¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ë¤Ê¤ë¡£
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤¬ "+" ¤Ç½ª¤Ã¤Æ¤¤¤ë¾ì¹ç¡¢
-¤½¤Î̾Á°¤Ç»Ï¤Þ¤ëǤ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¾Êά¤µ¤ì¤¿¾ì¹ç¡¢
-Ǥ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+チェインのみに入る) パケットを受信するインターフェース名。
+インターフェース名の前に "!" を置くと、
+そのインターフェースを除外するという意味になる。
+インターフェース名が "+" で終っている場合、
+その名前で始まる任意のインターフェース名にマッチする。
+このオプションが省略された場合、
+任意のインターフェース名にマッチする。
.TP
.BR "-o, --out-interface " "[!] \fIname\fP"
.RB ( FORWARD ,
.B OUTPUT
-¥Á¥§¥¤¥ó¤ËÆþ¤ë) ¥Ñ¥±¥Ã¥È¤òÁ÷¿®¤¹¤ë¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¡£
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢
-¤½¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ò½ü³°¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ë¤Ê¤ë¡£
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤¬ "+" ¤Ç½ª¤Ã¤Æ¤¤¤ë¾ì¹ç¡¢
-¤½¤Î̾Á°¤Ç»Ï¤Þ¤ëǤ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¾Êά¤µ¤ì¤¿¾ì¹ç¡¢
-Ǥ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-.TP
-.\" (¥Ø¥Ã¥À¤Ë´ð¤Å¤¯¤â¤Î¤Ï) º£¤Î¤È¤³¤í¥µ¥Ý¡¼¥È¤µ¤ì¤Æ¤¤¤Ê¤¤¡£
+チェインに入る) パケットを送信するインターフェース名。
+インターフェース名の前に "!" を置くと、
+そのインターフェースを除外するという意味になる。
+インターフェース名が "+" で終っている場合、
+その名前で始まる任意のインターフェース名にマッチする。
+このオプションが省略された場合、
+任意のインターフェース名にマッチする。
+.TP
+.\" (ヘッダに基づくものは) 今のところサポートされていない。
.\"
.\" .B "[!] " "-f, --fragment"
-.\" ¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢Ê¬³ä¤µ¤ì¤¿¥Ñ¥±¥Ã¥È (fragmented packet) ¤Î¤¦¤Á
-.\" 2 ÈÖÌܰʹߤΥѥ±¥Ã¥È¤À¤±¤ò»²¾È¤¹¤ë¥ë¡¼¥ë¤Ç¤¢¤ë¤³¤È¤ò°ÕÌ£¤·¤Æ¤¤¤ë¡£
-.\" ¤³¤Î¤è¤¦¤Ê¥Ñ¥±¥Ã¥È (¤Þ¤¿¤Ï ICMP ¥¿¥¤¥×¤Î¥Ñ¥±¥Ã¥È) ¤Ï
-.\" Á÷¿®¸µ¡¦Á÷¿®Àè¥Ý¡¼¥È¤òÃΤëÊýË¡¤¬¤Ê¤¤¤Î¤Ç¡¢
-.\" Á÷¿®¸µ¤äÁ÷¿®Àè¤ò»ØÄꤹ¤ë¤è¤¦¤Ê¥ë¡¼¥ë¤Ë¤Ï¥Þ¥Ã¥Á¤·¤Ê¤¤¡£
-.\" "-f" ¥Õ¥é¥°¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢
-.\" ʬ³ä¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤Î¤¦¤ÁºÇ½é¤Î¤â¤Î¤«¡¢
-.\" ʬ³ä¤µ¤ì¤Æ¤¤¤Ê¤¤¥Ñ¥±¥Ã¥È¤À¤±¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+.\" このオプションは、分割されたパケット (fragmented packet) のうち
+.\" 2 番目以降のパケットだけを参照するルールであることを意味している。
+.\" このようなパケット (または ICMP タイプのパケット) は
+.\" 送信元・送信先ポートを知る方法がないので、
+.\" 送信元や送信先を指定するようなルールにはマッチしない。
+.\" "-f" フラグの前に "!" を置くと、
+.\" 分割されたパケットのうち最初のものか、
+.\" 分割されていないパケットだけにマッチする。
.\" .TP
.B "-c, --set-counters " "PKTS BYTES"
-¤³¤Î¥ª¥×¥·¥ç¥ó¤ò»È¤¦¤È¡¢
+このオプションを使うと、
.RB ( insert ,
.BR append ,
.B replace
-Áàºî¤Ë¤ª¤¤¤Æ) ´ÉÍý¼Ô¤Ï¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤ò
-½é´ü²½¤¹¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-.SS ¤½¤Î¾¤Î¥ª¥×¥·¥ç¥ó
-¤½¤Î¾¤Ë°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤ò»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë:
+操作において) 管理者はパケットカウンタとバイトカウンタを
+初期化することができる。
+.SS その他のオプション
+その他に以下のオプションを指定することができる:
.TP
.B "-v, --verbose"
-¾ÜºÙ¤Ê½ÐÎϤò¹Ô¤¦¡£
-list ¥³¥Þ¥ó¥É¤ÎºÝ¤Ë¡¢¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¡¦
-(¤â¤·¤¢¤ì¤Ð) ¥ë¡¼¥ë¤Î¥ª¥×¥·¥ç¥ó¡¦TOS ¥Þ¥¹¥¯¤òɽ¼¨¤µ¤»¤ë¡£
-¥Ñ¥±¥Ã¥È¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤âɽ¼¨¤µ¤ì¤ë¡£
-ź»ú 'K', 'M', 'G' ¤Ï¡¢
-¤½¤ì¤¾¤ì 1000, 1,000,000, 1,000,000,000 Çܤòɽ¤¹
-(¤³¤ì¤òÊѹ¹¤¹¤ë
+詳細な出力を行う。
+list コマンドの際に、インターフェース名・
+(もしあれば) ルールのオプション・TOS マスクを表示させる。
+パケットとバイトカウンタも表示される。
+添字 'K', 'M', 'G' は、
+それぞれ 1000, 1,000,000, 1,000,000,000 倍を表す
+(これを変更する
.B -x
-¥Õ¥é¥°¤â¸«¤è)¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤ò append, insert, delete, replace ¥³¥Þ¥ó¥É¤ËŬÍѤ¹¤ë¤È¡¢
-¥ë¡¼¥ë¤Ë¤Ä¤¤¤Æ¤Î¾ÜºÙ¤Ê¾ðÊó¤òɽ¼¨¤¹¤ë¡£
+フラグも見よ)。
+このオプションを append, insert, delete, replace コマンドに適用すると、
+ルールについての詳細な情報を表示する。
.TP
.B "-n, --numeric"
-¿ôÃͤˤè¤ë½ÐÎϤò¹Ô¤¦¡£
-IP ¥¢¥É¥ì¥¹¤ä¥Ý¡¼¥ÈÈÖ¹æ¤ò¿ôÃͤˤè¤ë¥Õ¥©¡¼¥Þ¥Ã¥È¤Çɽ¼¨¤¹¤ë¡£
-¥Ç¥Õ¥©¥ë¥È¤Ç¤Ï¡¢¤³¤Î¥×¥í¥°¥é¥à¤Ï (²Äǽ¤Ç¤¢¤ì¤Ð) ¤³¤ì¤é¤Î¾ðÊó¤ò
-¥Û¥¹¥È̾¡¦¥Í¥Ã¥È¥ï¡¼¥¯Ì¾¡¦¥µ¡¼¥Ó¥¹Ì¾¤Çɽ¼¨¤·¤è¤¦¤È¤¹¤ë¡£
+数値による出力を行う。
+IP アドレスやポート番号を数値によるフォーマットで表示する。
+デフォルトでは、このプログラムは (可能であれば) これらの情報を
+ホスト名・ネットワーク名・サービス名で表示しようとする。
.TP
.B "-x, --exact"
-¸·Ì©¤Ê¿ôÃͤÇɽ¼¨¤¹¤ë¡£
-¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤ò¡¢
-K (1000 ¤Î²¿Çܤ«)¡¦M (1000K ¤Î²¿Çܤ«)¡¦G (1000M ¤Î²¿Çܤ«) ¤Ç¤Ï¤Ê¤¯¡¢
-¸·Ì©¤ÊÃͤÇɽ¼¨¤¹¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢
+厳密な数値で表示する。
+パケットカウンタとバイトカウンタを、
+K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か) ではなく、
+厳密な値で表示する。
+このオプションは、
.B -L
-¥³¥Þ¥ó¥É¤È¤·¤«´Ø·¸¤·¤Ê¤¤¡£
+コマンドとしか関係しない。
.TP
.B "--line-numbers"
-¥ë¡¼¥ë¤ò°ìÍ÷ɽ¼¨¤¹¤ëºÝ¡¢¤½¤Î¥ë¡¼¥ë¤¬¥Á¥§¥¤¥ó¤Î¤É¤Î°ÌÃ֤ˤ¢¤ë¤«¤òɽ¤¹
-¹ÔÈÖ¹æ¤ò³Æ¹Ô¤Î»Ï¤á¤ËÉղ乤롣
+ルールを一覧表示する際、そのルールがチェインのどの位置にあるかを表す
+行番号を各行の始めに付加する。
.TP
.B "--modprobe=command"
-¥Á¥§¥¤¥ó¤Ë¥ë¡¼¥ë¤òÄɲäޤ¿¤ÏÁÞÆþ¤¹¤ëºÝ¤Ë¡¢
-(¥¿¡¼¥²¥Ã¥È¤ä¥Þ¥Ã¥Á¥ó¥°¤Î³ÈÄ¥¤Ê¤É¤Ç) ɬÍפʥ⥸¥å¡¼¥ë¤ò¥í¡¼¥É¤¹¤ë¤¿¤á¤Ë»È¤¦
+チェインにルールを追加または挿入する際に、
+(ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う
.B command
-¤ò»ØÄꤹ¤ë¡£
-.SH ¥Þ¥Ã¥Á¥ó¥°¤Î³ÈÄ¥
-ip6tables ¤Ï³ÈÄ¥¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¥Þ¥Ã¥Á¥ó¥°¥â¥¸¥å¡¼¥ë¤ò»È¤¦¤³¤È¤¬¤Ç¤¤ë¡£
-¤³¤ì¤é¤Î¥â¥¸¥å¡¼¥ë¤Ï 2 ¼ïÎà¤ÎÊýË¡¤Ç¥í¡¼¥É¤µ¤ì¤ë:
-¥â¥¸¥å¡¼¥ë¤Ï¡¢
+を指定する。
+.SH マッチングの拡張
+ip6tables は拡張されたパケットマッチングモジュールを使うことができる。
+これらのモジュールは 2 種類の方法でロードされる:
+モジュールは、
.B -p
-¤Þ¤¿¤Ï
+または
.B --protocol
-¤Ç°ÅÌۤΤ¦¤Á¤Ë»ØÄꤵ¤ì¤ë¤«¡¢
+で暗黙のうちに指定されるか、
.B -m
-¤Þ¤¿¤Ï
+または
.B --match
-¤Î¸å¤Ë¥â¥¸¥å¡¼¥ë̾¤ò³¤±¤Æ»ØÄꤵ¤ì¤ë¡£
-¤³¤ì¤é¤Î¥â¥¸¥å¡¼¥ë¤Î¸å¤í¤Ë¤Ï¡¢¥â¥¸¥å¡¼¥ë¤Ë±þ¤¸¤Æ
-¾¤Î¤¤¤í¤¤¤í¤Ê¥³¥Þ¥ó¥É¥é¥¤¥ó¥ª¥×¥·¥ç¥ó¤ò»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-Ê£¿ô¤Î³ÈÄ¥¥Þ¥Ã¥Á¥ó¥°¥â¥¸¥å¡¼¥ë¤ò 1 ¹Ô¤Ç»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-¤Þ¤¿¡¢¥â¥¸¥å¡¼¥ë¤ËÆÃͤΥإë¥×¤òɽ¼¨¤µ¤»¤ë¤¿¤á¤Ë¤Ï¡¢
-¥â¥¸¥å¡¼¥ë¤ò»ØÄꤷ¤¿¸å¤Ç
+の後にモジュール名を続けて指定される。
+これらのモジュールの後ろには、モジュールに応じて
+他のいろいろなコマンドラインオプションを指定することができる。
+複数の拡張マッチングモジュールを 1 行で指定することができる。
+また、モジュールに特有のヘルプを表示させるためには、
+モジュールを指定した後で
.B -h
-¤Þ¤¿¤Ï
+または
.B --help
-¤ò»ØÄꤹ¤ì¤Ð¤è¤¤¡£
+を指定すればよい。
-°Ê²¼¤Î³ÈÄ¥¤¬¥Ù¡¼¥¹¥Ñ¥Ã¥±¡¼¥¸¤Ë´Þ¤Þ¤ì¤Æ¤¤¤ë¡£
-ÂçÉôʬ¤Î¤â¤Î¤Ï¡¢¥Þ¥Ã¥Á¥ó¥°¤Î°ÕÌ£¤òµÕ¤Ë¤¹¤ë¤¿¤á¤Ë
+以下の拡張がベースパッケージに含まれている。
+大部分のものは、マッチングの意味を逆にするために
.B !
-¤òÁ°¤Ë¤ª¤¯¤³¤È¤¬¤Ç¤¤ë¡£
+を前におくことができる。
.SS tcp
-¤³¤ì¤é¤Î³ÈÄ¥¤Ï `--protocol tcp' ¤¬»ØÄꤵ¤ì¾ì¹ç¤Ë¥í¡¼¥É¤µ¤ì¡¢
-°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤¬Ä󶡤µ¤ì¤ë:
+これらの拡張は `--protocol tcp' が指定され場合にロードされ、
+以下のオプションが提供される:
.TP
.BR "--source-port " "[!] \fIport\fP[:\fIport\fP]"
-Á÷¿®¸µ¥Ý¡¼¥È¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈϰϤλØÄê¡£
-¥µ¡¼¥Ó¥¹Ì¾¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈÖ¹æ¤ò»ØÄê¤Ç¤¤ë¡£
+送信元ポートまたはポート範囲の指定。
+サービス名またはポート番号を指定できる。
.IR port : port
-¤È¤¤¤¦·Á¼°¤Ç¡¢2 ¤Ä¤ÎÈÖ¹æ¤ò´Þ¤àÈϰϤò»ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë¡£
-ºÇ½é¤Î¥Ý¡¼¥È¤ò¾Êά¤·¤¿¾ì¹ç¡¢"0" ¤ò²¾Äꤹ¤ë¡£
-ºÇ¸å¤Î¥Ý¡¼¥È¤ò¾Êά¤·¤¿¾ì¹ç¡¢"65535" ¤ò²¾Äꤹ¤ë¡£
-ºÇ¸å¤Î¥Ý¡¼¥È¤¬ºÇ½é¤Î¥Ý¡¼¥È¤è¤êÂ礤¤¾ì¹ç¡¢2 ¤Ä¤ÏÆþ¤ì´¹¤¨¤é¤ì¤ë¡£
-¥Õ¥é¥°
+という形式で、2 つの番号を含む範囲を指定することもできる。
+最初のポートを省略した場合、"0" を仮定する。
+最後のポートを省略した場合、"65535" を仮定する。
+最後のポートが最初のポートより大きい場合、2 つは入れ換えられる。
+ã\83\95ã\83©ã\82°
.B --sport
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊØÍø¤ÊÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの便利な別名である。
.TP
.BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]"
-Á÷¿®Àè¥Ý¡¼¥È¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈϰϤλØÄê¡£
-¥Õ¥é¥°
+送信先ポートまたはポート範囲の指定。
+ã\83\95ã\83©ã\82°
.B --dport
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊØÍø¤ÊÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの便利な別名である。
.TP
.BR "--tcp-flags " "[!] \fImask\fP \fIcomp\fP"
-»ØÄꤵ¤ì¤Æ¤¤¤ë¤è¤¦¤Ê TCP ¥Õ¥é¥°¤Î¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-Âè 1 °ú¤¿ô¤Ïɾ²Á¤µ¤ì¤ë¥Õ¥é¥°¤Ç¡¢¥³¥ó¥Þ¤Çʬ¤±¤é¤ì¤¿¥ê¥¹¥È¤Ç½ñ¤«¤ì¤ë¡£
-Âè 2 °ú¤¿ô¤ÏÀßÄꤵ¤ì¤Æ¤¤¤Ê¤±¤ì¤Ð¤Ê¤é¤Ê¤¤¥Õ¥é¥°¤Ç¡¢
-¥³¥ó¥Þ¤Çʬ¤±¤é¤ì¤¿¥ê¥¹¥È¤Ç½ñ¤«¤ì¤ë¡£
-»ØÄê¤Ç¤¤ë¥Õ¥é¥°¤Ï
+指定されているような TCP フラグの場合にマッチする。
+第 1 引き数は評価されるフラグで、コンマで分けられたリストで書かれる。
+第 2 引き数は設定されていなければならないフラグで、
+コンマで分けられたリストで書かれる。
+指定できるフラグは
.B "SYN ACK FIN RST URG PSH ALL NONE"
-¤Ç¤¢¤ë¡£
-¤è¤Ã¤Æ¡¢¥³¥Þ¥ó¥É
+である。
+よって、コマンド
.nf
ip6tables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
.fi
-¤Ï¡¢SYN ¥Õ¥é¥°¤¬ÀßÄꤵ¤ì ACK, FIN, RST ¥Õ¥é¥°¤¬ÀßÄꤵ¤ì¤Æ¤¤¤Ê¤¤
-¥Ñ¥±¥Ã¥È¤Ë¤Î¤ß¥Þ¥Ã¥Á¤¹¤ë¡£
+は、SYN フラグが設定され ACK, FIN, RST フラグが設定されていない
+パケットにのみマッチする。
.TP
.B "[!] --syn"
-SYN ¥Ó¥Ã¥È¤¬ÀßÄꤵ¤ì ACK ¤È RST ¥Ó¥Ã¥È¤¬¥¯¥ê¥¢¤µ¤ì¤Æ¤¤¤ë
-TCP ¥Ñ¥±¥Ã¥È¤Ë¤Î¤ß¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¤è¤¦¤Ê¥Ñ¥±¥Ã¥È¤Ï TCP Àܳ¤Î³«»ÏÍ×µá¤Ë»È¤ï¤ì¤ë¡£
-Î㤨¤Ð¡¢¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ËÆþ¤Ã¤Æ¤¯¤ë¤³¤Î¤è¤¦¤Ê¥Ñ¥±¥Ã¥È¤ò¥Ö¥í¥Ã¥¯¤¹¤ì¤Ð¡¢
-Æ⦤ؤΠTCP Àܳ¤Ï¶Ø»ß¤µ¤ì¤ë¤¬¡¢³°Â¦¤Ø¤Î TCP Àܳ¤Ë¤Ï±Æ¶Á¤·¤Ê¤¤¡£
-¤³¤ì¤Ï \fB--tcp-flags SYN,RST,ACK SYN\fP ¤ÈÅù¤·¤¤¡£
-"--syn" ¤ÎÁ°¤Ë "!" ¥Õ¥é¥°¤òÃÖ¤¯¤È¡¢
-SYN ¥Ó¥Ã¥È¤¬¥¯¥ê¥¢¤µ¤ì ACK ¤È FIN ¥Ó¥Ã¥È¤¬ÀßÄꤵ¤ì¤Æ¤¤¤ë
-TCP ¥Ñ¥±¥Ã¥È¤Ë¤Î¤ß¥Þ¥Ã¥Á¤¹¤ë¡£
+SYN ビットが設定され ACK と RST ビットがクリアされている
+TCP パケットにのみマッチする。
+このようなパケットは TCP 接続の開始要求に使われる。
+例えば、インターフェースに入ってくるこのようなパケットをブロックすれば、
+内側への TCP 接続は禁止されるが、外側への TCP 接続には影響しない。
+これは \fB--tcp-flags SYN,RST,ACK SYN\fP と等しい。
+"--syn" の前に "!" フラグを置くと、
+SYN ビットがクリアされ ACK と FIN ビットが設定されている
+TCP パケットにのみマッチする。
.TP
.BR "--tcp-option " "[!] \fInumber\fP"
-TCP ¥ª¥×¥·¥ç¥ó¤¬ÀßÄꤵ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+TCP オプションが設定されている場合にマッチする。
.SS udp
-¤³¤ì¤é¤Î³ÈÄ¥¤Ï `--protocol udp' ¤¬»ØÄꤵ¤ì¤¿¾ì¹ç¤Ë¥í¡¼¥É¤µ¤ì¡¢
-°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤¬Ä󶡤µ¤ì¤ë:
+これらの拡張は `--protocol udp' が指定された場合にロードされ、
+以下のオプションが提供される:
.TP
.BR "--source-port " "[!] \fIport\fP[:\fIport\fP]"
-Á÷¿®¸µ¥Ý¡¼¥È¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈϰϤλØÄê¡£
-¾ÜºÙ¤Ï TCP ³ÈÄ¥¤Î
+送信元ポートまたはポート範囲の指定。
+詳細は TCP 拡張の
.B --source-port
-¥ª¥×¥·¥ç¥ó¤ÎÀâÌÀ¤ò»²¾È¤¹¤ë¤³¤È¡£
+オプションの説明を参照すること。
.TP
.BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]"
-Á÷¿®Àè¥Ý¡¼¥È¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈϰϤλØÄê¡£
-¾ÜºÙ¤Ï TCP ³ÈÄ¥¤Î
+送信先ポートまたはポート範囲の指定。
+詳細は TCP 拡張の
.B --destination-port
-¥ª¥×¥·¥ç¥ó¤ÎÀâÌÀ¤ò»²¾È¤¹¤ë¤³¤È¡£
+オプションの説明を参照すること。
.SS ipv6-icmp
-¤³¤ì¤é¤Î³ÈÄ¥¤Ï `--protocol ipv6-icmp'
-¤Þ¤¿¤Ï `--protocol icmpv6' ¤¬»ØÄꤵ¤ì¤¿¾ì¹ç¤Ë¥í¡¼¥É¤µ¤ì¡¢
-°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤¬Ä󶡤µ¤ì¤ë:
+これらの拡張は `--protocol ipv6-icmp'
+または `--protocol icmpv6' が指定された場合にロードされ、
+以下のオプションが提供される:
.TP
.BR "--icmpv6-type " "[!] \fItypename\fP"
-¿ôÃͤΠIPv6-ICMP ¥¿¥¤¥×¡¢¤Þ¤¿¤Ï¥³¥Þ¥ó¥É
+数値の IPv6-ICMP タイプ、またはコマンド
.nf
ip6tables -p ipv6-icmp -h
.fi
-¤Çɽ¼¨¤µ¤ì¤ë IPv6-ICMP ¥¿¥¤¥×̾¤ò»ØÄê¤Ç¤¤ë¡£
+で表示される IPv6-ICMP タイプ名を指定できる。
.SS mac
.TP
.BR "--mac-source " "[!] \fIaddress\fP"
-Á÷¿®¸µ MAC ¥¢¥É¥ì¥¹¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+送信元 MAC アドレスにマッチする。
.I address
-¤Ï XX:XX:XX:XX:XX:XX ¤È¤¤¤¦·Á¼°¤Ç¤Ê¤±¤ì¤Ð¤Ê¤é¤Ê¤¤¡£
-¥¤¡¼¥µ¡¼¥Í¥Ã¥È¥Ç¥Ð¥¤¥¹¤«¤éÆþ¤Ã¤Æ¤¯¤ë¥Ñ¥±¥Ã¥È¤Ç¡¢
+は XX:XX:XX:XX:XX:XX という形式でなければならない。
+イーサーネットデバイスから入ってくるパケットで、
.BR PREROUTING ,
.BR FORWARD ,
.B INPUT
-¥Á¥§¥¤¥ó¤ËÆþ¤ë¥Ñ¥±¥Ã¥È¤Ë¤·¤«°ÕÌ£¤¬¤Ê¤¤ÅÀ¤ËÃí°Õ¤¹¤ë¤³¤È¡£
+チェインに入るパケットにしか意味がない点に注意すること。
.SS limit
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢¥È¡¼¥¯¥ó¥Ð¥±¥Ä¥Õ¥£¥ë¥¿¤ò»È¤¤¡¢
-ñ°Ì»þ´Ö¤¢¤¿¤êÀ©¸Â¤µ¤ì¤¿²ó¿ô¤À¤±¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î³ÈÄ¥¤ò»È¤Ã¤¿¥ë¡¼¥ë¤Ï¡¢(`!' ¥Õ¥é¥°¤¬»ØÄꤵ¤ì¤Ê¤¤¸Â¤ê)
-À©¸Â¤Ë㤹¤ë¤Þ¤Ç¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢¥í¥°µÏ¿¤òÀ©¸Â¤¹¤ë
+このモジュールは、トークンバケツフィルタを使い、
+単位時間あたり制限された回数だけマッチする。
+この拡張を使ったルールは、(`!' フラグが指定されない限り)
+制限に達するまでマッチする。
+このモジュールは、ログ記録を制限する
.B LOG
-¥¿¡¼¥²¥Ã¥È¤ÈÁȤ߹ç¤ï¤»¤Æ»È¤¦¤³¤È¤¬¤Ç¤¤ë¡£
-¤¿¤È¤¨¤Ð¡¢
+ターゲットと組み合わせて使うことができる。
+たとえば、
.TP
.BI "--limit " "rate"
-ñ°Ì»þ´Ö¤¢¤¿¤ê¤ÎÊ¿¶Ñ¥Þ¥Ã¥Á²ó¿ô¤ÎºÇÂçÃÍ¡£
-¿ôÃͤǻØÄꤵ¤ì¡¢Åº»ú `/second', `/minute',
-`/hour', `/day' ¤òÉÕ¤±¤ë¤³¤È¤â¤Ç¤¤ë¡£
-¥Ç¥Õ¥©¥ë¥È¤Ï 3/hour ¤Ç¤¢¤ë¡£
+単位時間あたりの平均マッチ回数の最大値。
+数値で指定され、添字 `/second', `/minute',
+`/hour', `/day' を付けることもできる。
+デフォルトは 3/hour である。
.TP
.BI "--limit-burst " "number"
-¥Ñ¥±¥Ã¥È¤¬¥Þ¥Ã¥Á¤¹¤ë²ó¿ô¤ÎºÇÂç½é´üÃÍ:
-¾å¤Î¥ª¥×¥·¥ç¥ó¤Ç»ØÄꤷ¤¿À©¸Â¤Ë㤷¤Ê¤±¤ì¤Ð¡¢
-¤½¤ÎÅÙ¤´¤È¤Ë¡¢¤³¤Î¿ôÃͤˤʤë¤Þ¤Ç 1 ¸Ä¤º¤ÄÁý¤ä¤µ¤ì¤ë¡£
-¥Ç¥Õ¥©¥ë¥È¤Ï 5 ¤Ç¤¢¤ë¡£
+パケットがマッチする回数の最大初期値:
+上のオプションで指定した制限に達しなければ、
+その度ごとに、この数値になるまで 1 個ずつ増やされる。
+デフォルトは 5 である。
.SS multiport
-¤³¤Î¥â¥¸¥å¡¼¥ë¤ÏÁ÷¿®¸µ¤äÁ÷¿®Àè¤Î¥Ý¡¼¥È¤Î½¸¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¥Ý¡¼¥È¤Ï 15 ¸Ä¤Þ¤Ç»ØÄê¤Ç¤¤ë¡£
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï
+このモジュールは送信元や送信先のポートの集合にマッチする。
+ポートは 15 個まで指定できる。
+このモジュールは
.B "-p tcp"
-¤Þ¤¿¤Ï
+または
.B "-p udp"
-¤ÈÁȤ߹ç¤ï¤»¤Æ»È¤¦¤³¤È¤·¤«¤Ç¤¤Ê¤¤¡£
+と組み合わせて使うことしかできない。
.TP
.BR "--source-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-Á÷¿®¸µ¥Ý¡¼¥È¤¬»ØÄꤵ¤ì¤¿¥Ý¡¼¥È¤Î¤¦¤Á¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ì¤Ð¥Þ¥Ã¥Á¤¹¤ë¡£
-¥Õ¥é¥°
+送信元ポートが指定されたポートのうちのいずれかであればマッチする。
+ã\83\95ã\83©ã\82°
.B --sports
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊØÍø¤ÊÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの便利な別名である。
.TP
.BR "--destination-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-Á÷¿®Àè¥Ý¡¼¥È¤¬»ØÄꤵ¤ì¤¿¥Ý¡¼¥È¤Î¤¦¤Á¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ì¤Ð¥Þ¥Ã¥Á¤¹¤ë¡£
-¥Õ¥é¥°
+送信先ポートが指定されたポートのうちのいずれかであればマッチする。
+ã\83\95ã\83©ã\82°
.B --dports
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊØÍø¤ÊÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの便利な別名である。
.TP
.BR "--ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-Á÷¿®¸µ¤ÈÁ÷¿®Àè¥Ý¡¼¥È¤ÎξÊý¤¬¸ß¤¤¤ËÅù¤·¤¤¤«¡¢
-»ØÄꤵ¤ì¤¿¥Ý¡¼¥È¤Î¤¦¤Á¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ì¤Ð¥Þ¥Ã¥Á¤¹¤ë¡£
+送信元と送信先ポートの両方が互いに等しいか、
+指定されたポートのうちのいずれかであればマッチする。
.SS mark
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¥Ñ¥±¥Ã¥È¤Ë´ØÏ¢¤Å¤±¤é¤ì¤¿
-netfilter ¤Î mark ¥Õ¥£¡¼¥ë¥É¤Ë¥Þ¥Ã¥Á¤¹¤ë
-(¤³¤Î¥Õ¥£¡¼¥ë¥É¤Ï¡¢°Ê²¼¤Î
+このモジュールはパケットに関連づけられた
+netfilter の mark フィールドにマッチする
+(このフィールドは、以下の
.B MARK
-¥¿¡¼¥²¥Ã¥È¤ÇÀßÄꤵ¤ì¤ë)¡£
+ターゲットで設定される)。
.TP
.BR "--mark " "\fIvalue\fP[/\fImask\fP]"
-»ØÄꤵ¤ì¤¿Éä¹æ¤Ê¤· mark ÃͤΥѥ±¥Ã¥È¤Ë¥Þ¥Ã¥Á¤¹¤ë
-(mask ¤¬»ØÄꤵ¤ì¤ë¤È¡¢Èæ³Ó¤ÎÁ°¤Ë mask ¤È¤ÎÏÀÍýÀÑ (AND) ¤¬¤È¤é¤ì¤ë)¡£
+指定された符号なし mark 値のパケットにマッチする
+(mask が指定されると、比較の前に mask との論理積 (AND) がとられる)。
.SS owner
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢¥í¡¼¥«¥ë¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤ËÉÕ¤¤¤Æ¡¢
-¥Ñ¥±¥Ã¥ÈÀ¸À®¼Ô¤Î¤¤¤í¤¤¤í¤ÊÆÃÀ¤È¤Î¥Þ¥Ã¥Á¥ó¥°¤ò¤È¤ë¡£
-¤³¤ì¤Ï
+このモジュールは、ローカルで生成されたパケットに付いて、
+パケット生成者のいろいろな特性とのマッチングをとる。
+これは
.B OUTPUT
-¥Á¥§¥¤¥ó¤Î¤ß¤Ç¤·¤«Í¸ú¤Ç¤Ê¤¤¡£
-¤Þ¤¿¡¢(ICMP ping ±þÅú¤Î¤è¤¦¤Ê) ¥Ñ¥±¥Ã¥È¤Ï¡¢
-½êͼԤ¬¤¤¤Ê¤¤¤Î¤ÇÀäÂФ˥ޥåÁ¤·¤Ê¤¤¡£
-¤³¤ì¤Ï¼Â¸³Åª¤Ê¤â¤Î¤È¤¤¤¦°·¤¤¤Ç¤¢¤ë¡£
+チェインのみでしか有効でない。
+また、(ICMP ping 応答のような) パケットは、
+所有者がいないので絶対にマッチしない。
+これは実験的なものという扱いである。
.TP
.BI "--uid-owner " "userid"
-»ØÄꤵ¤ì¤¿¼Â¸ú¥æ¡¼¥¶¡¼ ID ¤Î¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定された実効ユーザー ID のプロセスにより
+パケットが生成されている場合にマッチする。
.TP
.BI "--gid-owner " "groupid"
-»ØÄꤵ¤ì¤¿¼Â¸ú¥°¥ë¡¼¥× ID ¤Î¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定された実効グループ ID のプロセスにより
+パケットが生成されている場合にマッチする。
.TP
.BI "--pid-owner " "processid"
-»ØÄꤵ¤ì¤¿¥×¥í¥»¥¹ ID ¤Î¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定されたプロセス ID のプロセスにより
+パケットが生成されている場合にマッチする。
.TP
.BI "--sid-owner " "sessionid"
-»ØÄꤵ¤ì¤¿¥»¥Ã¥·¥ç¥ó¥°¥ë¡¼¥×¤Î¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定されたセッショングループのプロセスにより
+パケットが生成されている場合にマッチする。
.\" .SS state
-.\" ¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢ÀܳÄÉÀ× (connection tracking) ¤ÈÁȤ߹ç¤ï¤»¤ÆÍѤ¤¤ë¤È¡¢
-.\" ¥Ñ¥±¥Ã¥È¤Ë¤Ä¤¤¤Æ¤ÎÀܳÄÉÀ×¾õÂÖ¤òÃΤ뤳¤È¤¬¤Ç¤¤ë¡£
+.\" このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、
+.\" パケットについての接続追跡状態を知ることができる。
.\" .TP
.\" .BI "--state " "state"
-.\" state ¤Ï¡¢¥Þ¥Ã¥Á¥ó¥°¤ò¹Ô¤¦¤¿¤á¤Î¡¢¥³¥ó¥Þ¤Ç¶èÀÚ¤é¤ì¤¿Àܳ¾õÂ֤Υꥹ¥È¤Ç¤¢¤ë¡£
-.\" »ØÄê²Äǽ¤Ê state ¤Ï°Ê²¼¤ÎÄ̤ꡣ
+.\" state は、マッチングを行うための、コンマで区切られた接続状態のリストである。
+.\" 指定可能な state は以下の通り。
.\" .BR INVALID :
-.\" ¤³¤Î¥Ñ¥±¥Ã¥È¤Ï´ûÃΤÎÀܳ¤È´Ø·¸¤·¤Æ¤¤¤Ê¤¤¡£
+.\" このパケットは既知の接続と関係していない。
.\" .BR ESTABLISHED :
-.\" ¤³¤Î¥Ñ¥±¥Ã¥È¤ÏÁÐÊý¸þÀܳ¤Î¥Ñ¥±¥Ã¥È¤ÈȽÌÀ¤·¤¿¡£
+.\" このパケットは双方向接続のパケットと判明した。
.\" .BR NEW :
-.\" ¤³¤Î¥Ñ¥±¥Ã¥È¤¬¿·¤·¤¤Àܳ¤ò³«»Ï¤·¤¿¤«¡¢
-.\" ÁÐÊý¸þÀܳ¤Î¥Ñ¥±¥Ã¥È¤Ç¤Ê¤¤¤â¤Î¤ÈȽÌÀ¤·¤¿¡£
+.\" このパケットが新しい接続を開始したか、
+.\" 双方向接続のパケットでないものと判明した。
.\" .BR RELATED :
-.\" ¤³¤Î¥Ñ¥±¥Ã¥È¤¬¿·¤·¤¤Àܳ¤ò³«»Ï¤·¤Æ¤¤¤ë¤¬¡¢
-.\" FTP ¥Ç¡¼¥¿Å¾Á÷¤ä ICMP ¥¨¥é¡¼¤Î¤è¤¦¤Ë¡¢´û¸¤ÎÀܳ¤Ë´Ø·¸¤·¤Æ¤¤¤ë¡£
+.\" このパケットが新しい接続を開始しているが、
+.\" FTP データ転送や ICMP エラーのように、既存の接続に関係している。
.\" .SS unclean
-.\" ¤³¤Î¥â¥¸¥å¡¼¥ë¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬¤Ê¤¤¤¬¡¢
-.\" ¤ª¤«¤·¤¯Àµ¾ï¤Ç¤Ê¤¤¤è¤¦¤Ë¸«¤¨¤ë¥Ñ¥±¥Ã¥È¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-.\" ¤³¤ì¤Ï¼Â¸³Åª¤Ê¤â¤Î¤È¤·¤Æ°·¤ï¤ì¤Æ¤¤¤ë¡£
+.\" このモジュールにはオプションがないが、
+.\" おかしく正常でないように見えるパケットにマッチする。
+.\" これは実験的なものとして扱われている。
.\" .SS tos
-.\" ¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï IP ¥Ø¥Ã¥À¡¼¤Î (¾å°Ì¥Ó¥Ã¥È¤ò´Þ¤à) 8 ¥Ó¥Ã¥È¤Î
-.\" Type of Service ¥Õ¥£¡¼¥ë¥É¤Ë¥Þ¥Ã¥Á¤¹¤ë
+.\" このモジュールは IP ヘッダーの (上位ビットを含む) 8 ビットの
+.\" Type of Service フィールドにマッチする
.\" .TP
.\" .BI "--tos " "tos"
-.\" °ú¤¿ô¤Ï¡¢¥Þ¥Ã¥Á¤ò¹Ô¤¦É¸½àŪ¤Ê̾Á°¤Ç¤â¿ôÃͤǤâ¤è¤¤
-.\" (̾Á°¤Î¥ê¥¹¥È¤ò¸«¤ë¤Ë¤Ï
+.\" 引き数は、マッチを行う標準的な名前でも数値でもよい
+.\" (名前のリストを見るには
.\" .br
.\" iptables -m tos -h
.\" .br
-.\" ¤ò»È¤¦¤³¤È)¡£
-.SH ¥¿¡¼¥²¥Ã¥È¤Î³ÈÄ¥
-iptables ¤Ï³ÈÄ¥¥¿¡¼¥²¥Ã¥È¥â¥¸¥å¡¼¥ë¤ò»È¤¦¤³¤È¤¬¤Ç¤¤ë:
-°Ê²¼¤Î¤â¤Î¤¬¡¢É¸½àŪ¤Ê¥Ç¥£¥¹¥È¥ê¥Ó¥å¡¼¥·¥ç¥ó¤Ë´Þ¤Þ¤ì¤Æ¤¤¤ë¡£
+.\" を使うこと)。
+.SH ターゲットの拡張
+iptables は拡張ターゲットモジュールを使うことができる:
+以下のものが、標準的なディストリビューションに含まれている。
.SS LOG
-¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤ò¥«¡¼¥Í¥ë¥í¥°¤ËµÏ¿¤¹¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¥ë¡¼¥ë¤ËÂФ·¤ÆÀßÄꤵ¤ì¤ë¤È¡¢
-Linux ¥«¡¼¥Í¥ë¤Ï¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤Ë¤Ä¤¤¤Æ¤Î
-(IPv6 ¤Ë¤ª¤±¤ëÂçÉôʬ¤Î IPv6 ¥Ø¥Ã¥À¥Õ¥£¡¼¥ë¥É¤Î¤è¤¦¤Ê) ²¿¤é¤«¤Î¾ðÊó¤ò
-¥«¡¼¥Í¥ë¥í¥°¤Ëɽ¼¨¤¹¤ë
-(¥«¡¼¥Í¥ë¥í¥°¤Ï
+マッチしたパケットをカーネルログに記録する。
+このオプションがルールに対して設定されると、
+Linux カーネルはマッチしたパケットについての
+(IPv6 における大部分の IPv6 ヘッダフィールドのような) 何らかの情報を
+カーネルログに表示する
+(カーネルログは
.I dmesg
-¤Þ¤¿¤Ï
+または
.IR syslogd (8)
-¤Ç¸«¤ë¤³¤È¤¬¤Ç¤¤ë)¡£
-¤³¤ì¤Ï¡ÖÈó½ªÎ»¥¿ ¡¼¥²¥Ã¥È¡×¤Ç¤¢¤ë¡£
-¤¹¤Ê¤ï¤Á¡¢¥ë¡¼¥ë¤Î¸¡Æ¤¤Ï¡¢¼¡¤Î¥ë¡¼¥ë¤Ø¤È·Ñ³¤µ¤ì¤ë¡£
-¤è¤Ã¤Æ¡¢µñÈݤ¹¤ë¥Ñ¥±¥Ã¥È¤ò¥í¥°µÏ¿¤·¤¿¤±¤ì¤Ð¡¢
-Ʊ¤¸¥Þ¥Ã¥Á¥ó¥°È½ÃÇ´ð½à¤ò»ý¤Ä 2 ¤Ä¤Î¥ë¡¼¥ë¤ò»ÈÍѤ·¡¢
-ºÇ½é¤Î¥ë¡¼¥ë¤Ç LOG ¥¿¡¼¥²¥Ã¥È¤ò¡¢
-¼¡¤Î¥ë¡¼¥ë¤Ç DROP (¤Þ¤¿¤Ï REJECT) ¥¿¡¼¥²¥Ã¥È¤ò»ØÄꤹ¤ë¡£
+で見ることができる)。
+これは「非終了タ ーゲット」である。
+すなわち、ルールの検討は、次のルールへと継続される。
+よって、拒否するパケットをログ記録したければ、
+同じマッチング判断基準を持つ 2 つのルールを使用し、
+最初のルールで LOG ターゲットを、
+次のルールで DROP (または REJECT) ターゲットを指定する。
.TP
.BI "--log-level " "level"
-¥í¥°µÏ¿¤Î¥ì¥Ù¥ë (¿ôÃͤǻØÄꤹ¤ë¤«¡¢
-(ÌõÃð: ̾Á°¤Ç»ØÄꤹ¤ë¾ì¹ç¤Ï) \fIsyslog.conf\fP(5) ¤ò»²¾È¤¹¤ë¤³¤È)¡£
+ログ記録のレベル (数値で指定するか、
+(訳註: 名前で指定する場合は) \fIsyslog.conf\fP(5) を参照すること)。
.TP
.BI "--log-prefix " "prefix"
-»ØÄꤷ¤¿¥×¥ì¥Õ¥£¥Ã¥¯¥¹¤ò¥í¥°¥á¥Ã¥»¡¼¥¸¤ÎÁ°¤ËÉÕ¤±¤ë¡£
-¥×¥ì¥Õ¥£¥Ã¥¯¥¹¤Ï 29 ʸ»ú¤Þ¤Ç¤ÎŤµ¤Ç¡¢
-¥í¥°¤Î¤Ê¤«¤Ç¥á¥Ã¥»¡¼¥¸¤ò¶èÊ̤¹¤ë¤Î¤ËÌòΩ¤Ä¡£
+指定したプレフィックスをログメッセージの前に付ける。
+プレフィックスは 29 文字までの長さで、
+ログのなかでメッセージを区別するのに役立つ。
.TP
.B --log-tcp-sequence
-TCP ¥·¡¼¥±¥ó¥¹ÈÖ¹æ¤ò¥í¥°¤ËµÏ¿¤¹¤ë¡£
-¥í¥°¤¬¥æ¡¼¥¶¡¼¤«¤éÆɤá¤ë¾ì¹ç¡¢¥»¥¥å¥ê¥Æ¥£¾å¤Î´í¸±¤¬¤¢¤ë¡£
+TCP シーケンス番号をログに記録する。
+ログがユーザーから読める場合、セキュリティ上の危険がある。
.TP
.B --log-tcp-options
-TCP ¥Ñ¥±¥Ã¥È¥Ø¥Ã¥À¤Î¥ª¥×¥·¥ç¥ó¤ò¥í¥°¤ËµÏ¿¤¹¤ë¡£
+TCP パケットヘッダのオプションをログに記録する。
.TP
.B --log-ip-options
-IPv6 ¥Ñ¥±¥Ã¥È¥Ø¥Ã¥À¤Î¥ª¥×¥·¥ç¥ó¤ò¥í¥°¤ËµÏ¿¤¹¤ë¡£
+IPv6 パケットヘッダのオプションをログに記録する。
.SS MARK
-¥Ñ¥±¥Ã¥È¤Ë´ØÏ¢¤Å¤±¤é¤ì¤¿ netfilter ¤Î mark Ãͤò»ØÄꤹ¤ë¡£
+パケットに関連づけられた netfilter の mark 値を指定する。
.B mangle
-¥Æ¡¼¥Ö¥ë¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
+テーブルのみで有効である。
.TP
.BI "--set-mark " "mark"
.SS REJECT
-¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤Î±þÅú¤È¤·¤Æ¥¨¥é¡¼¥Ñ¥±¥Ã¥È¤òÁ÷¿®¤¹¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
-¥¨¥é¡¼¥Ñ¥±¥Ã¥È¤òÁ÷¤é¤Ê¤±¤ì¤Ð¡¢
+マッチしたパケットの応答としてエラーパケットを送信するために使われる。
+エラーパケットを送らなければ、
.B DROP
-¤ÈƱ¤¸¤Ç¤¢¤ê¡¢
-TARGET ¤ò½ªÎ»¤·¡¢¥ë¡¼¥ë¤Î¸¡Æ¤¤ò½ªÎ»¤¹¤ë¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¡¢
+と同じであり、
+TARGET を終了し、ルールの検討を終了する。
+このターゲットは、
.BR INPUT ,
.BR FORWARD ,
.B OUTPUT
-¥Á¥§¥¤¥ó¤È¡¢¤³¤ì¤é¤Î¥Á¥§¥¤¥ó¤«¤é¸Æ¤Ð¤ì¤ë
-¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤À¤±¤Ç͸ú¤Ç¤¢¤ë¡£
-°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢ÊÖ¤µ¤ì¤ë¥¨¥é¡¼¥Ñ¥±¥Ã¥È¤ÎÆÃÀ¤òÀ©¸æ¤¹¤ë¡£
+チェインと、これらのチェインから呼ばれる
+ユーザー定義チェインだけで有効である。
+以下のオプションは、返されるエラーパケットの特性を制御する。
.TP
.BI "--reject-with " "type"
-type ¤È¤·¤Æ»ØÄê²Äǽ¤Ê¤â¤Î¤Ï
+type として指定可能なものは
.nf
.B " icmp6-no-route"
.B " no-route"
.B " icmp6-port-unreachable"
.B " port-unreach"
.fi
-¤Ç¤¢¤ê¡¢Å¬ÀÚ¤Ê IPv6-ICMP ¥¨¥é¡¼¥á¥Ã¥»¡¼¥¸¤òÊÖ¤¹
-(\fBport-unreach\fP ¤¬¥Ç¥Õ¥©¥ë¥È¤Ç¤¢¤ë)¡£
-¤µ¤é¤Ë¡¢TCP ¥×¥í¥È¥³¥ë¤Ë¤Î¤ß¥Þ¥Ã¥Á¤¹¤ë¥ë¡¼¥ë¤ËÂФ·¤Æ¡¢¥ª¥×¥·¥ç¥ó
+であり、適切な IPv6-ICMP エラーメッセージを返す
+(\fBport-unreach\fP がデフォルトである)。
+さらに、TCP プロトコルにのみマッチするルールに対して、オプション
.B tcp-reset
-¤ò»È¤¦¤³¤È¤¬¤Ç¤¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤ò»È¤¦¤È¡¢TCP RST ¥Ñ¥±¥Ã¥È¤¬Á÷¤êÊÖ¤µ¤ì¤ë¡£
-¼ç¤È¤·¤Æ
+を使うことができる。
+このオプションを使うと、TCP RST パケットが送り返される。
+主として
.I ident
-(113/tcp) ¤Ë¤è¤ëõºº¤òÁ˻ߤ¹¤ë¤Î¤ËÌòΩ¤Ä¡£
+(113/tcp) による探査を阻止するのに役立つ。
.I ident
-¤Ë¤è¤ëõºº¤Ï¡¢²õ¤ì¤Æ¤¤¤ë (¥á¡¼¥ë¤ò¼õ¤±¼è¤é¤Ê¤¤) ¥á¡¼¥ë¥Û¥¹¥È¤Ë
-¥á¡¼¥ë¤¬Á÷¤é¤ì¤ë¾ì¹ç¤ËÉÑÈˤ˵¯¤³¤ë¡£
+による探査は、壊れている (メールを受け取らない) メールホストに
+メールが送られる場合に頻繁に起こる。
.\" .SS TOS
-.\" IP ¥Ø¥Ã¥À¤Î 8 ¥Ó¥Ã¥È¤Î Type of Service ¥Õ¥£¡¼¥ë¥É¤òÀßÄꤹ¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
+.\" IP ヘッダの 8 ビットの Type of Service フィールドを設定するために使われる。
.\" .B mangle
-.\" ¥Æ¡¼¥Ö¥ë¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
+.\" テーブルのみで有効である。
.\" .TP
.\" .BI "--set-tos " "tos"
-.\" TOS ¤òÈÖ¹æ¤Ç»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-.\" ¤Þ¤¿¡¢
+.\" TOS を番号で指定することができる。
+.\" また、
.\" .br
.\" iptables -j TOS -h
.\" .br
-.\" ¤ò¼Â¹Ô¤·¤ÆÆÀ¤é¤ì¤ë¡¢»ÈÍѲÄǽ¤Ê TOS ̾¤Î°ìÍ÷¤Ë¤¢¤ë TOS ̾¤â»ØÄê¤Ç¤¤ë¡£
+.\" を実行して得られる、使用可能な TOS 名の一覧にある TOS 名も指定できる。
.\" .SS MIRROR
-.\" ¼Â¸³Åª¤Ê¥Ç¥â¥ó¥¹¥È¥ì¡¼¥·¥ç¥óÍѤΥ¿¡¼¥²¥Ã¥È¤Ç¤¢¤ê¡¢
-.\" IP ¥Ø¥Ã¥À¤ÎÁ÷¿®¸µ¤ÈÁ÷¿®Àè¥Õ¥£¡¼¥ë¥É¤òÆþ¤ì´¹¤¨¡¢
-.\" ¥Ñ¥±¥Ã¥È¤òºÆÁ÷¿®¤¹¤ë¤â¤Î¤Ç¤¢¤ë¡£
-.\" ¤³¤ì¤Ï
+.\" 実験的なデモンストレーション用のターゲットであり、
+.\" IP ヘッダの送信元と送信先フィールドを入れ換え、
+.\" パケットを再送信するものである。
+.\" これは
.\" .BR INPUT ,
.\" .BR FORWARD ,
.\" .B PREROUTING
-.\" ¥Á¥§¥¤¥ó¤È¡¢¤³¤ì¤é¤Î¥Á¥§¥¤¥ó¤«¤é¸Æ¤Ó½Ð¤µ¤ì¤ë
-.\" ¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤À¤±¤Ç͸ú¤Ç¤¢¤ë¡£
-.\" ¥ë¡¼¥×Åù¤ÎÌäÂê¤ò²óÈò¤¹¤ë¤¿¤á¡¢³°Éô¤ËÁ÷¤é¤ì¤ë¥Ñ¥±¥Ã¥È¤Ï
-.\" ¤¤¤«¤Ê¤ë¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¥ê¥ó¥°¥Á¥§¥¤¥ó¡¦ÀܳÄÉÀס¦NAT ¤«¤é¤â
-.\" ´Æ»ë\fB¤µ¤ì¤Ê¤¤\fR ¡£
+.\" チェインと、これらのチェインから呼び出される
+.\" ユーザー定義チェインだけで有効である。
+.\" ループ等の問題を回避するため、外部に送られるパケットは
+.\" いかなるパケットフィルタリングチェイン・接続追跡・NAT からも
+.\" 監視\fBされない\fR 。
.\" .SS SNAT
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï
+.\" このターゲットは
.\" .B nat
-.\" ¥Æ¡¼¥Ö¥ë¤È
+.\" テーブルと
.\" .B POSTROUTING
-.\" ¥Á¥§¥¤¥ó¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¥Ñ¥±¥Ã¥È¤ÎÁ÷¿®¸µ¥¢¥É¥ì¥¹¤ò½¤Àµ¤µ¤»¤ë
-.\" (¤³¤ÎÀܳ¤Î°Ê¹ß¤Î¥Ñ¥±¥Ã¥È¤â½¤Àµ¤·¤Æʬ¤«¤é¤Ê¤¯¤¹¤ë (mangle))¡£
-.\" ¤µ¤é¤Ë¡¢¥ë¡¼¥ë¤¬É¾²Á¤òÃæ»ß¤¹¤ë¤è¤¦¤Ë»Ø¼¨¤¹¤ë¡£
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬ 1 ¤Ä¤¢¤ë:
+.\" チェインのみで有効である。
+.\" このターゲットはパケットの送信元アドレスを修正させる
+.\" (この接続の以降のパケットも修正して分からなくする (mangle))。
+.\" さらに、ルールが評価を中止するように指示する。
+.\" このターゲットにはオプションが 1 つある:
.\" .TP
.\" .BR "--to-source " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]"
-.\" 1 ¤Ä¤Î¿·¤·¤¤Á÷¿®¸µ IP ¥¢¥É¥ì¥¹¡¢¤Þ¤¿¤Ï IP ¥¢¥É¥ì¥¹¤ÎÈϰϤ¬»ØÄê¤Ç¤¤ë¡£
-.\" ¥ª¥×¥·¥ç¥ó¤È¤·¤Æ¡¢¥Ý¡¼¥È¤ÎÈϰϤ¬»ØÄê¤Ç¤¤ë
-.\" (¥ë¡¼¥ë¤¬
+.\" 1 つの新しい送信元 IP アドレス、または IP アドレスの範囲が指定できる。
+.\" オプションとして、ポートの範囲が指定できる
+.\" (ルールが
.\" .B "-p tcp"
-.\" ¤Þ¤¿¤Ï
+.\" または
.\" .B "-p udp"
-.\" ¤ò»ØÄꤷ¤Æ¤¤¤ë¾ì¹ç¤Ë¤Î¤ß͸ú)¡£
-.\" ¥Ý¡¼¥È¤ÎÈϰϤ¬»ØÄꤵ¤ì¤Æ¤¤¤Ê¤¤¾ì¹ç¡¢
-.\" 512 ̤Ëþ¤ÎÁ÷¿®¸µ¥Ý¡¼¥È¤Ï¡¢Â¾¤Î 512 ̤Ëþ¤Î¥Ý¡¼¥È¤Ë¥Þ¥Ã¥Ô¥ó¥°¤µ¤ì¤ë¡£
-.\" 512 ¡Á 1023 ¤Þ¤Ç¤Î¥Ý¡¼¥È¤Ï¡¢1024 ̤Ëþ¤Î¥Ý¡¼¥È¤Ë¥Þ¥Ã¥Ô¥ó¥°¤µ¤ì¤ë¡£
-.\" ¤½¤ì°Ê³°¤Î¥Ý¡¼¥È¤Ï¡¢1024 °Ê¾å¤Î¥Ý¡¼¥È¤Ë¥Þ¥Ã¥Ô¥ó¥°¤µ¤ì¤ë¡£
-.\" ²Äǽ¤Ç¤¢¤ì¤Ð¡¢¥Ý¡¼¥È¤ÎÊÑ´¹¤Ïµ¯¤³¤é¤Ê¤¤¡£
+.\" を指定している場合にのみ有効)。
+.\" ポートの範囲が指定されていない場合、
+.\" 512 未満の送信元ポートは、他の 512 未満のポートにマッピングされる。
+.\" 512 〜 1023 までのポートは、1024 未満のポートにマッピングされる。
+.\" それ以外のポートは、1024 以上のポートにマッピングされる。
+.\" 可能であれば、ポートの変換は起こらない。
.\" .SS DNAT
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï
+.\" このターゲットは
.\" .B nat
-.\" ¥Æ¡¼¥Ö¥ë¤È
+.\" テーブルと
.\" .BR PREROUTING ,
.\" .B OUTPUT
-.\" ¥Á¥§¥¤¥ó¡¢¤³¤ì¤é¤Î¥Á¥§¥¤¥ó¤«¤é¸Æ¤Ó½Ð¤µ¤ì¤ë
-.\" ¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¥Ñ¥±¥Ã¥È¤ÎÁ÷¿®À襢¥É¥ì¥¹¤ò½¤Àµ¤¹¤ë
-.\" (¤³¤ÎÀܳ¤Î°Ê¹ß¤Î¥Ñ¥±¥Ã¥È¤â½¤Àµ¤·¤Æʬ¤«¤é¤Ê¤¯¤¹¤ë (mangle))¡£
-.\" ¤µ¤é¤Ë¡¢¥ë¡¼¥ë¤Ë¤è¤ë¥Á¥§¥Ã¥¯¤ò»ß¤á¤µ¤»¤ë¡£
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬ 1 ¤Ä¤¢¤ë:
+.\" チェイン、これらのチェインから呼び出される
+.\" ユーザー定義チェインのみで有効である。
+.\" このターゲットはパケットの送信先アドレスを修正する
+.\" (この接続の以降のパケットも修正して分からなくする (mangle))。
+.\" さらに、ルールによるチェックを止めさせる。
+.\" このターゲットにはオプションが 1 つある:
.\" .TP
.\" .BR "--to-destination " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]"
-.\" 1 ¤Ä¤Î¿·¤·¤¤Á÷¿®Àè IP ¥¢¥É¥ì¥¹¡¢¤Þ¤¿¤Ï IP ¥¢¥É¥ì¥¹¤ÎÈϰϤ¬»ØÄê¤Ç¤¤ë¡£
-.\" ¥ª¥×¥·¥ç¥ó¤È¤·¤Æ¡¢¥Ý¡¼¥È¤ÎÈϰϤ¬»ØÄê¤Ç¤¤ë
-.\" (¥ë¡¼¥ë¤¬
+.\" 1 つの新しい送信先 IP アドレス、または IP アドレスの範囲が指定できる。
+.\" オプションとして、ポートの範囲が指定できる
+.\" (ルールが
.\" .B "-p tcp"
-.\" ¤Þ¤¿¤Ï
+.\" または
.\" .B "-p udp"
-.\" ¤ò»ØÄꤷ¤Æ¤¤¤ë¾ì¹ç¤Ë¤Î¤ß͸ú)¡£
-.\" ¥Ý¡¼¥È¤ÎÈϰϤ¬»ØÄꤵ¤ì¤Æ¤¤¤Ê¤¤¾ì¹ç¡¢Á÷¿®À襢¥É¥ì¥¹¤ÏÊѹ¹¤µ¤ì¤Ê¤¤¡£
+.\" を指定している場合にのみ有効)。
+.\" ポートの範囲が指定されていない場合、送信先アドレスは変更されない。
.\" .SS MASQUERADE
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï
+.\" このターゲットは
.\" .B nat
-.\" ¥Æ¡¼¥Ö¥ë¡¢¤Þ¤¿¤Ï
+.\" テーブル、または
.\" .B POSTROUTING
-.\" ¥Á¥§¥¤¥ó¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
-.\" ưŪ³ä¤êÅö¤Æ IP (¥À¥¤¥ä¥ë¥¢¥Ã¥×) Àܳ¤Î¾ì¹ç¤Ë¤Î¤ß»È¤¦¤Ù¤¤Ç¤¢¤ë¡£
-.\" ¸ÇÄê IP ¥¢¥É¥ì¥¹¤Ê¤é¤Ð¡¢SNAT ¥¿¡¼¥²¥Ã¥È¤ò»È¤¦¤Ù¤¤Ç¤¢¤ë¡£
-.\" ¥Þ¥¹¥«¥ì¡¼¥Ç¥£¥ó¥°¤Ï¡¢¥Ñ¥±¥Ã¥È¤¬Á÷¿®¤µ¤ì¤ë¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤Î
-.\" IP ¥¢¥É¥ì¥¹¤Ø¤Î¥Þ¥Ã¥Ô¥ó¥°¤ò»ØÄꤹ¤ë¤Î¤ÈƱ¤¸¤Ç¤¢¤ë¤¬¡¢
-.\" ¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤¬Ää»ß¤·¤¿¾ì¹ç¤ËÀܳ¤ò\fI˺¤ì¤ë\fR¤È¤¤¤¦¸½¾Ý¤¬¤¢¤ë¡£
-.\" ¼¡¤Î¥À¥¤¥ä¥ë¥¢¥Ã¥×¤Ç¤ÏƱ¤¸¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¥¢¥É¥ì¥¹¤Ë¤Ê¤ë²ÄǽÀ¤¬Ä㤤
-.\" (¤½¤Î¤¿¤á¡¢Á°²ó³ÎΩ¤µ¤ì¤¿Àܳ¤Ï¼º¤ï¤ì¤ë) ¾ì¹ç¡¢
-.\" ¤³¤ÎÆ°ºî¤ÏÀµ¤·¤¤¡£
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬ 1 ¤Ä¤¢¤ë¡£
+.\" チェインのみで有効である。
+.\" 動的割り当て IP (ダイヤルアップ) 接続の場合にのみ使うべきである。
+.\" 固定 IP アドレスならば、SNAT ターゲットを使うべきである。
+.\" マスカレーディングは、パケットが送信されるインターフェースの
+.\" IP アドレスへのマッピングを指定するのと同じであるが、
+.\" インターフェースが停止した場合に接続を\fI忘れる\fRという現象がある。
+.\" 次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い
+.\" (そのため、前回確立された接続は失われる) 場合、
+.\" この動作は正しい。
+.\" このターゲットにはオプションが 1 つある。
.\" .TP
.\" .BR "--to-ports " "\fIport\fP[-\fIport\fP]"
-.\" ¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢»ÈÍѤ¹¤ëÁ÷¿®¸µ¥Ý¡¼¥È¤ÎÈϰϤò»ØÄꤷ¡¢
-.\" ¥Ç¥Õ¥©¥ë¥È¤Î
+.\" このオプションは、使用する送信元ポートの範囲を指定し、
+.\" デフォルトの
.\" .B SNAT
-.\" Á÷¿®¸µ¥Ý¡¼¥È¤ÎÁªÂòÊýË¡ (¾åµ) ¤è¤ê¤âÍ¥À褵¤ì¤ë¡£
-.\" ¥ë¡¼¥ë¤¬
+.\" 送信元ポートの選択方法 (上記) よりも優先される。
+.\" ルールが
.\" .B "-p tcp"
-.\" ¤Þ¤¿¤Ï
+.\" または
.\" .B "-p udp"
-.\" ¤ò»ØÄꤷ¤Æ¤¤¤ë¾ì¹ç¤Ë¤Î¤ß͸ú¤Ç¤¢¤ë¡£
+.\" を指定している場合にのみ有効である。
.\" .SS REDIRECT
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¡¢
+.\" このターゲットは、
.\" .B nat
-.\" ¥Æ¡¼¥Ö¥ëÆâ¤Î
+.\" テーブル内の
.\" .B PREROUTING
-.\" ¥Á¥§¥¤¥óµÚ¤Ó
+.\" チェイン及び
.\" .B OUTPUT
-.\" ¥Á¥§¥¤¥ó¡¢¤½¤·¤Æ¤³¤ì¤é¥Á¥§¥¤¥ó¤«¤é¸Æ¤Ó½Ð¤µ¤ì¤ë
-.\" ¥æ¡¼¥¶ÄêµÁ¥Á¥§¥¤¥ó¤Ç¤Î¤ß͸ú¤Ç¤¢¤ë¡£
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¥Ñ¥±¥Ã¥È¤ÎÁ÷¿®Àè IP ¥¢¥É¥ì¥¹¤ò
-.\" ¥Þ¥·¥ó¼«¿È¤Î IP ¥¢¥É¥ì¥¹¤ËÊÑ´¹¤¹¤ë¡£
-.\" (¥í¡¼¥«¥ë¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤Ï¡¢¥¢¥É¥ì¥¹ 127.0.0.1 ¤Ë¥Þ¥Ã¥×¤µ¤ì¤ë)¡£
-.\" ¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬ 1 ¤Ä¤¢¤ë:
+.\" チェイン、そしてこれらチェインから呼び出される
+.\" ユーザ定義チェインでのみ有効である。
+.\" このターゲットはパケットの送信先 IP アドレスを
+.\" マシン自身の IP アドレスに変換する。
+.\" (ローカルで生成されたパケットは、アドレス 127.0.0.1 にマップされる)。
+.\" このターゲットにはオプションが 1 つある:
.\" .TP
.\" .BR "--to-ports " "\fIport\fP[-\fIport\fP]"
-.\" ¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï»ÈÍѤµ¤ì¤ëÁ÷¿®Àè¥Ý¡¼¥È¡¦¥Ý¡¼¥ÈÈÏ°Ï¡¦Ê£¿ô¥Ý¡¼¥È¤ò»ØÄꤹ¤ë¡£
-.\" ¤³¤Î¥ª¥×¥·¥ç¥ó¤¬»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¡¢Á÷¿®Àè¥Ý¡¼¥È¤ÏÊѹ¹¤µ¤ì¤Ê¤¤¡£
-.\" ¥ë¡¼¥ë¤¬
+.\" このオプションは使用される送信先ポート・ポート範囲・複数ポートを指定する。
+.\" このオプションが指定されない場合、送信先ポートは変更されない。
+.\" ルールが
.\" .B "-p tcp"
-.\" ¤Þ¤¿¤Ï
+.\" または
.\" .B "-p udp"
-.\" ¤ò»ØÄꤷ¤Æ¤¤¤ë¾ì¹ç¤Ë¤Î¤ß͸ú¤Ç¤¢¤ë¡£
-.SH ÊÖ¤êÃÍ
-¤¤¤í¤¤¤í¤Ê¥¨¥é¡¼¥á¥Ã¥»¡¼¥¸¤¬É¸½à¥¨¥é¡¼¤Ëɽ¼¨¤µ¤ì¤ë¡£
-Àµ¤·¤¯µ¡Ç½¤·¤¿¾ì¹ç¡¢½ªÎ»¥³¡¼¥É¤Ï 0 ¤Ç¤¢¤ë¡£
-ÉÔÀµ¤Ê¥³¥Þ¥ó¥É¥é¥¤¥ó¥Ñ¥é¥á¡¼¥¿¤Ë¤è¤ê¥¨¥é¡¼¤¬È¯À¸¤·¤¿¾ì¹ç¤Ï¡¢
-½ªÎ»¥³¡¼¥É 2 ¤¬ÊÖ¤µ¤ì¤ë¡£
-¤½¤Î¾¤Î¥¨¥é¡¼¤Î¾ì¹ç¤Ï¡¢½ªÎ»¥³¡¼¥É 1 ¤¬ÊÖ¤µ¤ì¤ë¡£
-.SH ¥Ð¥°
-¥Ð¥°? ¥Ð¥°¤Ã¤Æ²¿? ;-)
-¤¨¡¼¤È¡Ä¡¢sparc64 ¤Ç¤Ï¥«¥¦¥ó¥¿¡¼Ãͤ¬¿®Íê¤Ç¤¤Ê¤¤¡£
-.SH IPCHAINS ¤È¤Î¸ß´¹À
+.\" を指定している場合にのみ有効である。
+.SH 返り値
+いろいろなエラーメッセージが標準エラーに表示される。
+正しく機能した場合、終了コードは 0 である。
+不正なコマンドラインパラメータによりエラーが発生した場合は、
+終了コード 2 が返される。
+その他のエラーの場合は、終了コード 1 が返される。
+.SH ã\83\90ã\82°
+バグ? バグって何? ;-)
+えーと…、sparc64 ではカウンター値が信頼できない。
+.SH IPCHAINS との互換性
.B ip6tables
-¤Ï¡¢Rusty Russell ¤Î ipchains ¤ÈÈó¾ï¤Ë¤è¤¯»÷¤Æ¤¤¤ë¡£
-Â礤ʰ㤤¤Ï¡¢¥Á¥§¥¤¥ó
+は、Rusty Russell の ipchains と非常によく似ている。
+大きな違いは、チェイン
.B INPUT
-¤È
+と
.B OUTPUT
-¤¬¡¢¤½¤ì¤¾¤ì¥í¡¼¥«¥ë¥Û¥¹¥È¤ËÆþ¤Ã¤Æ¤¯¤ë¥Ñ¥±¥Ã¥È¤È¡¢
-¥í¡¼¥«¥ë¥Û¥¹¥È¤«¤é½Ð¤µ¤ì¤ë¥Ñ¥±¥Ã¥È¤Î¤ß¤·¤«Ä´¤Ù¤Ê¤¤¤È¤¤¤¦ÅÀ¤Ç¤¢¤ë¡£
-¤è¤Ã¤Æ¡¢Á´¤Æ¤Î¥Ñ¥±¥Ã¥È¤Ï 3 ¤Ä¤¢¤ë¥Á¥§¥¤¥ó¤Î¤¦¤Á 1 ¤Ä¤·¤«Ä̤é¤Ê¤¤
-(¥ë¡¼¥×¥Ð¥Ã¥¯¥È¥é¥Õ¥£¥Ã¥¯¤ÏÎã³°¤Ç¡¢INPUT ¤È OUTPUT ¥Á¥§¥¤¥ó¤ÎξÊý¤òÄ̤ë)¡£
-°ÊÁ°¤Ï (ipchains ¤Ç¤Ï)¡¢
-¥Õ¥©¥ï¡¼¥É¤µ¤ì¤ë¥Ñ¥±¥Ã¥È¤¬ 3 ¤Ä¤Î¥Á¥§¥¤¥óÁ´¤Æ¤òÄ̤äƤ¤¤¿¡£
+が、それぞれローカルホストに入ってくるパケットと、
+ローカルホストから出されるパケットのみしか調べないという点である。
+よって、全てのパケットは 3 つあるチェインのうち 1 つしか通らない
+(ループバックトラフィックは例外で、INPUT と OUTPUT チェインの両方を通る)。
+以前は (ipchains では)、
+フォワードされるパケットが 3 つのチェイン全てを通っていた。
.PP
-¤½¤Î¾¤ÎÂ礤ʰ㤤¤Ï¡¢
+その他の大きな違いは、
.B -i
-¤ÇÆþÎÏ¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¡¢
+で入力インターフェース、
.B -o
-¤Ç½ÐÎÏ¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ò»ØÄꤷ¡¢
-¤È¤â¤Ë
+で出力インターフェースを指定し、
+ともに
.B FORWARD
-¥Á¥§¥¤¥ó¤ËÆþ¤ë¥Ñ¥±¥Ã¥È¤ËÂФ·¤Æ»ØÄê²Äǽ¤ÊÅÀ¤Ç¤¢¤ë¡£
+チェインに入るパケットに対して指定可能な点である。
.\" .PP
-.\" NAT ¤Î¤¤¤í¤¤¤í¤Ê·Á¼°¤¬Ê¬³ä¤µ¤ì¤¿¡£
-.\" ¥ª¥×¥·¥ç¥ó¤Î³ÈÄ¥¥â¥¸¥å¡¼¥ë¤È¤È¤â¤Ë
-.\" ¥Ç¥Õ¥©¥ë¥È¤Î¡Ö¥Õ¥£¥ë¥¿¡×¥Æ¡¼¥Ö¥ë¤òÍѤ¤¤¿¾ì¹ç¡¢
+.\" NAT のいろいろな形式が分割された。
+.\" オプションの拡張モジュールとともに
+.\" デフォルトの「フィルタ」テーブルを用いた場合、
.\" .B iptables
-.\" ¤Ï½ã¿è¤Ê¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¤È¤Ê¤ë¡£
-.\" ¤³¤ì¤Ï¡¢°ÊÁ°¤ß¤é¤ì¤¿ IP ¥Þ¥¹¥«¥ì¡¼¥Ç¥£¥ó¥°¤È¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¥ê¥ó¥°¤Î
-.\" Áȹ礻¤Ë¤è¤ëº®Íð¤ò´Êά²½¤¹¤ë¡£
-.\" ¤è¤Ã¤Æ¡¢¥ª¥×¥·¥ç¥ó
+.\" は純粋なパケットフィルタとなる。
+.\" これは、以前みられた IP マスカレーディングとパケットフィルタリングの
+.\" 組合せによる混乱を簡略化する。
+.\" よって、オプション
.\" .br
.\" -j MASQ
.\" .br
.\" .br
.\" -M -L
.\" .br
-.\" ¤ÏÊ̤Τâ¤Î¤È¤·¤Æ°·¤ï¤ì¤ë¡£
-ip6tables ¤Ç¤Ï¡¢¤½¤Î¾¤Ë¤â¤¤¤¯¤Ä¤«¤ÎÊѹ¹¤¬¤¢¤ë¡£
-.SH ´ØÏ¢¹àÌÜ
+.\" は別のものとして扱われる。
+ip6tables では、その他にもいくつかの変更がある。
+.SH 関連項目
.BR ip6tables-save (8),
.BR ip6tables-restore(8),
.BR iptables (8),
.BR iptables-save (8),
.BR iptables-restore (8).
.P
-¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¥ê¥ó¥°¤Ë¤Ä¤¤¤Æ¤Î¾ÜºÙ¤Ê iptables ¤Î»ÈÍÑË¡¤ò
-ÀâÌÀ¤·¤Æ¤¤¤ë packet-filtering-HOWTO¡£
-NAT ¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë NAT-HOWTO¡£
-ɸ½àŪ¤ÊÇÛÉۤˤϴޤޤì¤Ê¤¤³ÈÄ¥¤Î¾ÜºÙ¤òÀâÌÀ¤·¤Æ¤¤¤ë netfilter-extensions-HOWTO¡£
-ÆâÉô¹½Â¤¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë netfilter-hacking-HOWTO¡£
+パケットフィルタリングについての詳細な iptables の使用法を
+説明している packet-filtering-HOWTO。
+NAT について詳細に説明している NAT-HOWTO。
+標準的な配布には含まれない拡張の詳細を説明している netfilter-extensions-HOWTO。
+内部構造について詳細に説明している netfilter-hacking-HOWTO。
.br
.B "http://www.netfilter.org/"
-¤ò»²¾È¤Î¤³¤È¡£
-.SH Ãø¼Ô
-Rusty Russell ¤Ï¡¢½é´ü¤ÎÃʳ¬¤Ç Michael Neuling ¤ËÁêÃ̤·¤Æ iptables ¤ò½ñ¤¤¤¿¡£
+を参照のこと。
+.SH 著者
+Rusty Russell は、初期の段階で Michael Neuling に相談して iptables を書いた。
.PP
-Marc Boucher ¤Ï Rusty ¤Ë iptables ¤Î°ìÈÌŪ¤Ê¥Ñ¥±¥Ã¥ÈÁªÂò¤Î¹Í¤¨Êý¤ò´«¤á¤Æ¡¢
-ipnatctl ¤ò»ß¤á¤µ¤»¤¿¡£
-¤½¤·¤Æ¡¢mangle ¥Æ¡¼¥Ö¥ë¡¦½êͼԥޥåÁ¥ó¥°¡¦
-mark µ¡Ç½¤ò½ñ¤¡¢¤¤¤¿¤ë¤È¤³¤í¤Ç»È¤ï¤ì¤Æ¤¤¤ëÁÇÀ²¤é¤·¤¤¥³¡¼¥É¤ò½ñ¤¤¤¿¡£
+Marc Boucher は Rusty に iptables の一般的なパケット選択の考え方を勧めて、
+ipnatctl を止めさせた。
+そして、mangle テーブル・所有者マッチング・
+mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。
.PP
-James Morris ¤¬ TOS ¥¿¡¼¥²¥Ã¥È¤È tos ¥Þ¥Ã¥Á¥ó¥°¤ò½ñ¤¤¤¿¡£
+James Morris が TOS ターゲットと tos マッチングを書いた。
.PP
-Jozsef Kadlecsik ¤¬ REJECT ¥¿¡¼¥²¥Ã¥È¤ò½ñ¤¤¤¿¡£
+Jozsef Kadlecsik が REJECT ターゲットを書いた。
.PP
-Harald Welte ¤¬ ULOG ¥¿¡¼¥²¥Ã¥È¡¦TTL ¥Þ¥Ã¥Á¥ó¥°¤È TTL ¥¿¡¼¥²¥Ã¥È¡¦
-libipulog ¤ò½ñ¤¤¤¿¡£
+Harald Welte が ULOG ターゲット・TTL マッチングと TTL ターゲット・
+libipulog を書いた。
.PP
-Netfilter ¥³¥¢¥Á¡¼¥à¤Ï¡¢Marc Boucher, Martin Josefsson, Jozsef Kadlecsik,
-James Morris, Harald Welte, Rusty Russell ¤Ç¤¢¤ë¡£
+Netfilter コアチームは、Marc Boucher, Martin Josefsson, Jozsef Kadlecsik,
+James Morris, Harald Welte, Rusty Russell である。
.PP
-ip6tables ¤Î man ¥Ú¡¼¥¸¤Ï¡¢Andras Kis-Szabo ¤Ë¤è¤Ã¤ÆºîÀ®¤µ¤ì¤¿¡£
-¤³¤ì¤Ï Herve Eychenne <rv@wallfire.org> ¤Ë¤è¤Ã¤Æ½ñ¤«¤ì¤¿
-iptables ¤Î man ¥Ú¡¼¥¸¤ò¸µ¤Ë¤·¤Æ¤¤¤ë¡£
-.\" .. ¤½¤·¤Æ¡¢ËÍÅù¤¬¤È¤Æ¤â¥¯¡¼¥ë¤ÊÅÛ¤é¤À¤È¸À¤Ã¤Æ¤ª¤¤¤Æ¤â¤¤¤¤¤«¤Ê¡©
-.\" .. ¥»¥¯¥·¡¼¤Ç ..
-.\" .. ¤È¤Æ¤â¥¦¥£¥Ã¥È¤ËÉÙ¤ó¤Ç¤¤¤Æ¡¢¥Á¥ã¡¼¥ß¥ó¥°¤Ç¡¢¥Ñ¥ï¥Õ¥ë¤Ç ..
-.\" .. ¤½¤·¤Æ¡¢¤ß¤ó¤Ê¸¬µõ¤Ê¤ó¤À ..
+ip6tables の man ページは、Andras Kis-Szabo によって作成された。
+これは Herve Eychenne <rv@wallfire.org> によって書かれた
+iptables の man ページを元にしている。
+.\" .. そして、僕等がとてもクールな奴らだと言っておいてもいいかな?
+.\" .. セクシーで ..
+.\" .. とてもウィットに富んでいて、チャーミングで、パワフルで ..
+.\" .. そして、みんな謙虚なんだ ..
.\" Translated Tue May 15 20:08:04 JST 2001
.\" by Yuichi SATO <ysato@h4.dion.ne.jp>
.\"
-.SH ̾Á°
-iptables-restore \- IP ¥Æ¡¼¥Ö¥ë¤òÉü¸µ¤¹¤ë
-.SH ½ñ¼°
+.SH 名前
+iptables-restore \- IP テーブルを復元する
+.SH 書式
.BR "iptables-restore " "[-c] [-n]"
.br
-.SH ÀâÌÀ
+.SH 説明
.PP
.B iptables-restore
-¤Ïɸ½àÆþÎϤǻØÄꤵ¤ì¤¿¥Ç¡¼¥¿¤«¤é IP ¥Æ¡¼¥Ö¥ë¤òÉü¸µ¤¹¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
-¥Õ¥¡¥¤¥ë¤«¤éÆɤ߹þ¤à¤¿¤á¤Ë¤Ï¡¢
-¥·¥§¥ë¤ÇÄ󶡤µ¤ì¤Æ¤¤¤ë I/O ¥ê¥À¥¤¥ì¥¯¥·¥ç¥ó¤ò»È¤¦¤³¤È¡£
+は標準入力で指定されたデータから IP テーブルを復元するために使われる。
+ファイルから読み込むためには、
+シェルで提供されている I/O リダイレクションを使うこと。
.TP
\fB\-c\fR, \fB\-\-counters\fR
-Á´¤Æ¤Î¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤ÎÃͤòÉü¸µ¤¹¤ë¡£
+全てのパケットカウンタとバイトカウンタの値を復元する。
.TP
\fB\-n\fR, \fB\-\-noflush\fR
-¤³¤ì¤Þ¤Ç¤Î¥Æ¡¼¥Ö¥ë¤ÎÆâÍƤò¥Õ¥é¥Ã¥·¥å¤·¤Ê¤¤¡£
-»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¡¢
+これまでのテーブルの内容をフラッシュしない。
+指定されない場合、
.B iptables-restore
-¤Ï¡¢¤³¤ì¤Þ¤Ç¤Î³Æ IP ¥Æ¡¼¥Ö¥ë¤ÎÆâÍƤòÁ´¤Æ¥Õ¥é¥Ã¥·¥å (ºï½ü) ¤¹¤ë¡£
-.SH ¥Ð¥°
-iptables-1.2.1 ¥ê¥ê¡¼¥¹¤Ç¤ÏÃΤé¤ì¤Æ¤¤¤Ê¤¤¡£
-.SH Ãø¼Ô
+は、これまでの各 IP テーブルの内容を全てフラッシュ (削除) する。
+.SH ã\83\90ã\82°
+iptables-1.2.1 リリースでは知られていない。
+.SH 著者
Harald Welte <laforge@gnumonks.org>
-.SH ´ØÏ¢¹àÌÜ
+.SH 関連項目
.BR iptables-save "(8), " iptables "(8) "
.PP
-¤è¤ê¿¤¯¤Î iptables ¤Î»ÈÍÑË¡¤Ë¤Ä¤¤¤Æ
-¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë iptables-HOWTO¡£
-NAT ¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë NAT-HOWTO¡£
-ÆâÉô¹½Â¤¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë netfilter-hacking-HOWTO¡£
+より多くの iptables の使用法について
+詳細に説明している iptables-HOWTO。
+NAT について詳細に説明している NAT-HOWTO。
+内部構造について詳細に説明している netfilter-hacking-HOWTO。
.\" Translated Tue May 15 20:09:48 JST 2001
.\" by Yuichi SATO <ysato@h4.dion.ne.jp>
.\"
-.SH ̾Á°
-iptables-save \- IP ¥Æ¡¼¥Ö¥ë¤òÊݸ¤¹¤ë
-.SH ½ñ¼°
+.SH 名前
+iptables-save \- IP テーブルを保存する
+.SH 書式
.BR "iptables-save " "[-c] [-t table]"
.br
-.SH ÀâÌÀ
+.SH 説明
.PP
.B iptables-save
-¤Ï IP ¥Æ¡¼¥Ö¥ë¤ÎÆâÍƤò´Êñ¤Ë²òÀϤǤ¤ë·Á¼°¤Ç
-ɸ½à½ÐÎϤ˥À¥ó¥×¤¹¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
-¥Õ¥¡¥¤¥ë¤Ë½ñ¤½Ð¤¹¤¿¤á¤Ë¤Ï¡¢
-¥·¥§¥ë¤ÇÄ󶡤µ¤ì¤Æ¤¤¤ë I/O ¥ê¥À¥¤¥ì¥¯¥·¥ç¥ó¤ò»È¤¦¤³¤È¡£
+は IP テーブルの内容を簡単に解析できる形式で
+標準出力にダンプするために使われる。
+ファイルに書き出すためには、
+シェルで提供されている I/O リダイレクションを使うこと。
.TP
\fB\-c\fR, \fB\-\-counters\fR
-Á´¤Æ¤Î¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤Î¸½ºß¤ÎÃͤò½ÐÎϤ¹¤ë¡£
+全てのパケットカウンタとバイトカウンタの現在の値を出力する。
.TP
\fB\-t\fR, \fB\-\-table\fR \fBtablename\fR
-½ÐÎϤò 1 ¤Ä¤Î¥Æ¡¼¥Ö¥ë¤Î¤ß¤ËÀ©¸Â¤¹¤ë¡£
-»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¡¢ÆÀ¤é¤ì¤¿Á´¤Æ¤Î¥Æ¡¼¥Ö¥ë¤ò½ÐÎϤ¹¤ë¡£
-.SH ¥Ð¥°
-iptables-1.2.1 ¥ê¥ê¡¼¥¹¤Ç¤ÏÃΤé¤ì¤Æ¤¤¤Ê¤¤¡£
-.SH Ãø¼Ô
+出力を 1 つのテーブルのみに制限する。
+指定されない場合、得られた全てのテーブルを出力する。
+.SH ã\83\90ã\82°
+iptables-1.2.1 リリースでは知られていない。
+.SH 著者
Harald Welte <laforge@gnumonks.org>
-.SH ´ØÏ¢¹àÌÜ
+.SH 関連項目
.BR iptables-restore "(8), " iptables "(8) "
.PP
-¤è¤ê¿¤¯¤Î iptables ¤Î»ÈÍÑË¡¤Ë¤Ä¤¤¤Æ
-¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë iptables-HOWTO¡£
-NAT ¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë NAT-HOWTO¡£
-ÆâÉô¹½Â¤¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë netfilter-hacking-HOWTO¡£
+より多くの iptables の使用法について
+詳細に説明している iptables-HOWTO。
+NAT について詳細に説明している NAT-HOWTO。
+内部構造について詳細に説明している netfilter-hacking-HOWTO。
.\" Updated & Modified Sat Feb 21 23:28:25 JST 2004
.\" by Yuichi SATO <ysato444@yahoo.co.jp>
.\"
-.\"WORD: chain ¥Á¥§¥¤¥ó
-.\"WORD: built-in chain ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó
-.\"WORD: connection tracking ÀܳÄÉÀ×
-.\"WORD: enslave ¥¹¥ì¡¼¥Ö¤Ë¤¹¤ë
-.\"WORD: infrastructure ´ðÈ×
-.\"WORD: round-robin ¥é¥¦¥ó¥É¡¦¥í¥Ó¥ó
-.\"WORD: rule traverse ¥ë¡¼¥ë¤Î¸¡Æ¤
-.\"WORD: non-terminating target Èó½ªÎ»¥¿¡¼¥²¥Ã¥È
-.\"WORD: criteria ȽÃÇ(¤¹¤ë)´ð½à
+.\"WORD: chain チェイン
+.\"WORD: built-in chain 組み込み済みチェイン
+.\"WORD: connection tracking 接続追跡
+.\"WORD: enslave スレーブにする
+.\"WORD: infrastructure 基盤
+.\"WORD: round-robin ラウンド・ロビン
+.\"WORD: rule traverse ルールの検討
+.\"WORD: non-terminating target 非終了ターゲット
+.\"WORD: criteria 判断(する)基準
.\"
.TH IPTABLES 8 "Mar 09, 2002" "" ""
-.SH ̾Á°
-iptables \- IPv4 ¤Î¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¤È NAT ¤ò´ÉÍý¤¹¤ë¥Ä¡¼¥ë
-.SH ½ñ¼°
-.BR "iptables [-t table] -[AD] " "¥Á¥§¥¤¥ó ¥ë¡¼¥ë¤Î¾ÜºÙ [¥ª¥×¥·¥ç¥ó]"
+.SH 名前
+iptables \- IPv4 のパケットフィルタと NAT を管理するツール
+.SH 書式
+.BR "iptables [-t table] -[AD] " "チェイン ルールの詳細 [オプション]"
.br
-.BR "iptables [-t table] -I " "¥Á¥§¥¤¥ó [¥ë¡¼¥ëÈÖ¹æ] ¥ë¡¼¥ë¤Î¾ÜºÙ [¥ª¥×¥·¥ç¥ó]"
+.BR "iptables [-t table] -I " "チェイン [ルール番号] ルールの詳細 [オプション]"
.br
-.BR "iptables [-t table] -R " "¥Á¥§¥¤¥ó ¥ë¡¼¥ëÈÖ¹æ ¥ë¡¼¥ë¤Î¾ÜºÙ [¥ª¥×¥·¥ç¥ó]"
+.BR "iptables [-t table] -R " "チェイン ルール番号 ルールの詳細 [オプション]"
.br
-.BR "iptables [-t table] -D " "¥Á¥§¥¤¥ó ¥ë¡¼¥ëÈÖ¹æ [¥ª¥×¥·¥ç¥ó]"
+.BR "iptables [-t table] -D " "チェイン ルール番号 [オプション]"
.br
-.BR "iptables [-t table] -[LFZ] " "[¥Á¥§¥¤¥ó] [¥ª¥×¥·¥ç¥ó]"
+.BR "iptables [-t table] -[LFZ] " "[チェイン] [オプション]"
.br
-.BR "iptables [-t table] -N " "¥Á¥§¥¤¥ó"
+.BR "iptables [-t table] -N " "チェイン"
.br
-.BR "iptables [-t table] -X " "[¥Á¥§¥¤¥ó]"
+.BR "iptables [-t table] -X " "[チェイン]"
.br
-.BR "iptables [-t table] -P " "¥Á¥§¥¤¥ó ¥¿¡¼¥²¥Ã¥È [¥ª¥×¥·¥ç¥ó]"
+.BR "iptables [-t table] -P " "チェイン ターゲット [オプション]"
.br
-.BR "iptables [-t table] -E " "µì¥Á¥§¥¤¥ó̾ ¿·¥Á¥§¥¤¥ó̾"
-.SH ÀâÌÀ
+.BR "iptables [-t table] -E " "旧チェイン名 新チェイン名"
+.SH 説明
.B iptables
-¤Ï Linux ¥«¡¼¥Í¥ë¤Î IP ¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¥ë¡¼¥ë¤Î¥Æ¡¼¥Ö¥ë¤ò
-ÀßÄꡦ´ÉÍý¡¦¸¡ºº¤¹¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
-Ê£¿ô¤Î°Û¤Ê¤ë¥Æ¡¼¥Ö¥ë¤òÄêµÁ¤Ç¤¤ë¡£
-³Æ¥Æ¡¼¥Ö¥ë¤Ë¤Ï¤¿¤¯¤µ¤ó¤ÎÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤¬´Þ¤Þ¤ì¤Æ¤ª¤ê¡¢
-¤µ¤é¤Ë¥æ¡¼¥¶¡¼ÄêµÁ¤Î¥Á¥§¥¤¥ó¤ò²Ã¤¨¤ë¤³¤È¤â¤Ç¤¤ë¡£
+は Linux カーネルの IP パケットフィルタルールのテーブルを
+設定・管理・検査するために使われる。
+複数の異なるテーブルを定義できる。
+各テーブルにはたくさんの組み込み済みチェインが含まれており、
+さらにユーザー定義のチェインを加えることもできる。
-³Æ¥Á¥§¥¤¥ó¤Ï¡¢¥Ñ¥±¥Ã¥È·²¤Ë¥Þ¥Ã¥Á¤¹¤ë¥ë¡¼¥ë¤Î¥ê¥¹¥È¤Ç¤¢¤ë¡£
-³Æ¥ë¡¼¥ë¤Ï¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤ËÂФ·¤Æ²¿¤ò¤¹¤ë¤«¤ò»ØÄꤹ¤ë¡£
-¤³¤ì¤Ï¡Ö¥¿¡¼¥²¥Ã¥È¡×¤È¸Æ¤Ð¤ì¡¢
-Ʊ¤¸¥Æ¡¼¥Ö¥ëÆâ¤Î¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤Ë¥¸¥ã¥ó¥×¤¹¤ë¤³¤È¤â¤Ç¤¤ë¡£
+各チェインは、パケット群にマッチするルールのリストである。
+各ルールはマッチしたパケットに対して何をするかを指定する。
+これは「ターゲット」と呼ばれ、
+同じテーブル内のユーザー定義チェインにジャンプすることもできる。
-.SH ¥¿¡¼¥²¥Ã¥È
-¤Ò¤È¤Ä¤Î¥Õ¥¡¥¤¥¢¥¦¥©¡¼¥ë¥ë¡¼¥ë¤Ç¤Ï¡¢
-¥Ñ¥±¥Ã¥È¤òȽÃǤ¹¤ë´ð½à¤È¥¿¡¼¥²¥Ã¥È¤È¤¬»ØÄꤵ¤ì¤ë¡£
-¥Ñ¥±¥Ã¥È¤¬¥Þ¥Ã¥Á¤·¤Ê¤¤¾ì¹ç¡¢¥Á¥§¥¤¥óÆâ¤Î¼¡¤Î¥ë¡¼¥ë¤¬É¾²Á¤µ¤ì¤ë¡£
-¥Ñ¥±¥Ã¥È¤¬¥Þ¥Ã¥Á¤·¤¿¾ì¹ç¡¢
-¥¿¡¼¥²¥Ã¥È¤ÎÃͤ¬¼¡¤Î¥ë¡¼¥ë¤ò»ØÄꤹ¤ë¡£
-¥¿¡¼¥²¥Ã¥È¤ÎÃͤϡ¢¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤Î̾Á°¡¢¤Þ¤¿¤ÏÆÃÊ̤ÊÃÍ
+.SH ターゲット
+ひとつのファイアウォールルールでは、
+パケットを判断する基準とターゲットとが指定される。
+パケットがマッチしない場合、チェイン内の次のルールが評価される。
+パケットがマッチした場合、
+ターゲットの値が次のルールを指定する。
+ターゲットの値は、ユーザー定義チェインの名前、または特別な値
.IR ACCEPT ,
.IR DROP ,
.IR QUEUE ,
.I RETURN
-¤Î¤¦¤Á¤Î 1 ¤Ä¤Ç¤¢¤ë¡£
+のうちの 1 つである。
.PP
.I ACCEPT
-¤Ï¥Ñ¥±¥Ã¥È¤òÄ̤¹¤È¤¤¤¦°ÕÌ£¤Ç¤¢¤ë¡£
+はパケットを通すという意味である。
.I DROP
-¤Ï¥Ñ¥±¥Ã¥È¤ò¾²¤ËÍ (¼Î¤Æ¤ë) ¤È¤¤¤¦°ÕÌ£¤Ç¤¢¤ë¡£
+はパケットを床に落す (捨てる) という意味である。
.I QUEUE
-¤Ï¥Ñ¥±¥Ã¥È¤ò¥æ¡¼¥¶¡¼¶õ´Ö¤ËÅϤ¹¤È¤¤¤¦°ÕÌ£¤Ç¤¢¤ë
-(¥«¡¼¥Í¥ë¤¬¥µ¥Ý¡¼¥È¤·¤Æ¤¤¤ì¤Ð¤Ç¤¢¤ë¤¬)¡£
+はパケットをユーザー空間に渡すという意味である
+(カーネルがサポートしていればであるが)。
.I RETURN
-¤Ï¡¢¤³¤Î¥Á¥§¥¤¥ó¤Î¸¡Æ¤¤òÃæ»ß¤·¤Æ¡¢
-°ÊÁ°¤Î (¸Æ¤Ó½Ð¤·¸µ) ¥Á¥§¥¤¥óÆâ¤Î
-¼¡¤Î¥ë¡¼¥ë¤«¤é¸¡Æ¤¤òºÆ³«¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ç¤¢¤ë¡£
-ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤ÎºÇ¸å¤ËÅþ㤷¤¿¾ì¹ç¡¢
-¤Þ¤¿¤ÏÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤Ç¥¿¡¼¥²¥Ã¥È
+は、このチェインの検討を中止して、
+以前の (呼び出し元) チェイン内の
+次のルールから検討を再開するという意味である。
+組み込み済みチェインの最後に到達した場合、
+または組み込み済みチェインでターゲット
.I RETURN
-¤ò»ý¤Ä¥ë¡¼¥ë¤Ë¥Þ¥Ã¥Á¤·¤¿¾ì¹ç¡¢
-¥Á¥§¥¤¥ó¥Ý¥ê¥·¡¼¤Ç»ØÄꤵ¤ì¤¿¥¿¡¼¥²¥Ã¥È¤¬
-¥Ñ¥±¥Ã¥È¤Î¹ÔÊý¤ò·èÄꤹ¤ë¡£
-.SH ¥Æ¡¼¥Ö¥ë
-¸½ºß¤Î¤È¤³¤í 3 ¤Ä¤ÎÆÈΩ¤Ê¥Æ¡¼¥Ö¥ë¤¬Â¸ºß¤¹¤ë
-(¤¢¤ë»þÅÀ¤Ç¤É¤Î¥Æ¡¼¥Ö¥ë¤¬Â¸ºß¤¹¤ë¤«¤Ï¡¢
-¥«¡¼¥Í¥ë¤ÎÀßÄê¤ä¤É¤¦¤¤¤Ã¤¿¥â¥¸¥å¡¼¥ë¤¬Â¸ºß¤¹¤ë¤«¤Ë°Í¸¤¹¤ë)¡£
+を持つルールにマッチした場合、
+チェインポリシーで指定されたターゲットが
+パケットの行方を決定する。
+.SH テーブル
+現在のところ 3 つの独立なテーブルが存在する
+(ある時点でどのテーブルが存在するかは、
+カーネルの設定やどういったモジュールが存在するかに依存する)。
.TP
.BI "-t, --table " "table"
-¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢¤³¤Î¥³¥Þ¥ó¥É¤òŬÍѤ¹¤ë
-¥Ñ¥±¥Ã¥È¥Þ¥Ã¥Á¥ó¥°¥Æ¡¼¥Ö¥ë¤ò»ØÄꤹ¤ë¡£
-¥«¡¼¥Í¥ë¤Ë¼«Æ°¥â¥¸¥å¡¼¥ë¥í¡¼¥Ç¥£¥ó¥°¤¬ÀßÄꤵ¤ì¤Æ¤¤¤ë¾ì¹ç¡¢
-¤½¤Î¥Æ¡¼¥Ö¥ë¤ËÂФ¹¤ëŬÀڤʥ⥸¥å¡¼¥ë¤¬¤Þ¤À¥í¡¼¥É¤µ¤ì¤Æ¤¤¤Ê¤±¤ì¤Ð¡¢
-¤½¤Î¥â¥¸¥å¡¼¥ë¤¬¥í¡¼¥É¤µ¤ì¤ë¡£
+このオプションは、このコマンドを適用する
+パケットマッチングテーブルを指定する。
+カーネルに自動モジュールローディングが設定されている場合、
+そのテーブルに対する適切なモジュールがまだロードされていなければ、
+そのモジュールがロードされる。
-¥Æ¡¼¥Ö¥ë¤Ï°Ê²¼¤ÎÄ̤ê¤Ç¤¢¤ë¡£
+テーブルは以下の通りである。
.RS
.TP .4i
.BR "filter" :
-(\-t ¥ª¥×¥·¥ç¥ó¤¬ÅϤµ¤ì¤Ê¤±¤ì¤Ð) ¤³¤ì¤¬¥Ç¥Õ¥©¥ë¥È¤Î¥Æ¡¼¥Ö¥ë¤Ç¤¢¤ë¡£
-¤³¤ì¤Ë¤Ï
+(\-t オプションが渡されなければ) これがデフォルトのテーブルである。
+これには
.B INPUT
-(¥Þ¥·¥ó¼«ÂΤËÆþ¤Ã¤Æ¤¯¤ë¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)¡¦
+(マシン自体に入ってくるパケットに対するチェイン)・
.B FORWARD
-(¥Þ¥·¥ó¤ò·Ðͳ¤¹¤ë¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)¡¦
+(マシンを経由するパケットに対するチェイン)・
.B OUTPUT
-(¥í¡¼¥«¥ë¥Þ¥·¥ó¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)
-¤È¤¤¤¦ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤¬´Þ¤Þ¤ì¤ë¡£
+(ローカルマシンで生成されたパケットに対するチェイン)
+という組み込み済みチェインが含まれる。
.TP
.BR "nat" :
-¤³¤Î¥Æ¡¼¥Ö¥ë¤Ï¿·¤·¤¤Àܳ¤ò³«¤¯¤è¤¦¤Ê¥Ñ¥±¥Ã¥È¤ËÂФ·¤Æ»²¾È¤µ¤ì¤ë¡£
-¤³¤ì¤Ë¤Ï
+このテーブルは新しい接続を開くようなパケットに対して参照される。
+これには
.B PREROUTING
-(¥Ñ¥±¥Ã¥È¤¬Æþ¤Ã¤Æ¤¤¿¾ì¹ç¡¢¤¹¤°¤Ë¤½¤Î¥Ñ¥±¥Ã¥È¤òÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)¡¦
+(パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)・
.B OUTPUT
-(¥í¡¼¥«¥ë¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤ò¥ë¡¼¥Æ¥£¥ó¥°¤ÎÁ°¤ËÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)¡¦
+(ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)・
.B POSTROUTING
-(¥Ñ¥±¥Ã¥È¤¬½Ð¤Æ¹Ô¤¯¤È¤¤ËÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)
-¤È¤¤¤¦ 3 ¤Ä¤ÎÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤¬´Þ¤Þ¤ì¤ë¡£
+(パケットが出て行くときに変換するためのチェイン)
+という 3 つの組み込み済みチェインが含まれる。
.TP
.BR "mangle" :
-¤³¤Î¥Æ¡¼¥Ö¥ë¤ÏÆÃÊ̤ʥѥ±¥Ã¥ÈÊÑ´¹¤Ë»È¤ï¤ì¤ë¡£
-¤³¤ì¤Ë¤Ï¡¢¥«¡¼¥Í¥ë 2.4.17 ¤Þ¤Ç¤Ï
+このテーブルは特別なパケット変換に使われる。
+これには、カーネル 2.4.17 までは
.B PREROUTING
-(¥Ñ¥±¥Ã¥È¤¬Æþ¤Ã¤Æ¤¤¿¾ì¹ç¡¢¤¹¤°¤Ë¤½¤Î¥Ñ¥±¥Ã¥È¤òÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)¡¦
+(パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)・
.B OUTPUT
-(¥í¡¼¥«¥ë¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤ò¥ë¡¼¥Æ¥£¥ó¥°¤ÎÁ°¤ËÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)
-¤È¤¤¤¦ 2 ¤Ä¤ÎÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤¬´Þ¤Þ¤ì¤ë¡£
-¥«¡¼¥Í¥ë 2.4.18 ¤«¤é¤Ï¡¢¤³¤ì¤é¤Î¾¤Ë
+(ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)
+という 2 つの組み込み済みチェインが含まれる。
+カーネル 2.4.18 からは、これらの他に
.B INPUT
-(¥Þ¥·¥ó¼«ÂΤËÆþ¤Ã¤Æ¤¯¤ë¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)¡¦
+(マシン自体に入ってくるパケットに対するチェイン)・
.B FORWARD
-(¥Þ¥·¥ó¤ò·Ðͳ¤¹¤ë¥Ñ¥±¥Ã¥È¤ËÂФ¹¤ë¥Á¥§¥¤¥ó)¡¦
+(マシンを経由するパケットに対するチェイン)・
.B POSTROUTING
-(¥Ñ¥±¥Ã¥È¤¬½Ð¤Æ¹Ô¤¯¤È¤¤ËÊÑ´¹¤¹¤ë¤¿¤á¤Î¥Á¥§¥¤¥ó)
-¤È¤¤¤¦ 3 ¤Ä¤ÎÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤â´Þ¤Þ¤ì¤ë¡£
+(パケットが出て行くときに変換するためのチェイン)
+という 3 つの組み込み済みチェインも含まれる。
.RE
-.SH ¥ª¥×¥·¥ç¥ó
+.SH オプション
.B iptables
-¤Ç»È¤¨¤ë¥ª¥×¥·¥ç¥ó¤Ï¡¢¤¤¤¯¤Ä¤«¤Î¥°¥ë¡¼¥×¤Ëʬ¤±¤é¤ì¤ë¡£
-.SS ¥³¥Þ¥ó¥É
-¤³¤ì¤é¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢¼Â¹Ô¤¹¤ëÆÃÄê¤ÎÆ°ºî¤ò»ØÄꤹ¤ë¡£
-°Ê²¼¤ÎÀâÌÀ¤ÇÃíµ¤µ¤ì¤Æ¤¤¤Ê¤¤¸Â¤ê¡¢
-¥³¥Þ¥ó¥É¥é¥¤¥ó¤Ç»ØÄê¤Ç¤¤ë¤Î¤Ï¤³¤ÎÃæ¤Î 1 ¤Ä¤À¤±¤Ç¤¢¤ë¡£
-Ť¤¥Ð¡¼¥¸¥ç¥ó¤Î¥³¥Þ¥ó¥É̾¤È¥ª¥×¥·¥ç¥ó̾¤Ï¡¢
+で使えるオプションは、いくつかのグループに分けられる。
+.SS コマンド
+これらのオプションは、実行する特定の動作を指定する。
+以下の説明で注記されていない限り、
+コマンドラインで指定できるのはこの中の 1 つだけである。
+長いバージョンのコマンド名とオプション名は、
.B iptables
-¤¬Â¾¤Î¥³¥Þ¥ó¥É̾¤ä¥ª¥×¥·¥ç¥ó̾¤È¶èÊ̤Ǥ¤ëÈϰϤÇ
-(ʸ»ú¤ò¾Êά¤·¤Æ) »ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë¡£
+が他のコマンド名やオプション名と区別できる範囲で
+(文字を省略して) 指定することもできる。
.TP
-.BI "-A, --append " "¥Á¥§¥¤¥ó ¥ë¡¼¥ë¤Î¾ÜºÙ"
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤ÎºÇ¸å¤Ë 1 ¤Ä°Ê¾å¤Î¥ë¡¼¥ë¤òÄɲ乤롣
-Á÷¿®¸µ¤äÁ÷¿®Àè¤Î̾Á°¤¬ 1 ¤Ä°Ê¾å¤Î¥¢¥É¥ì¥¹¤Ë²ò·è¤µ¤ì¤¿¾ì¹ç¤Ï¡¢
-²Äǽ¤Ê¥¢¥É¥ì¥¹¤ÎÁȹ礻¤½¤ì¤¾¤ì¤ËÂФ·¤Æ¥ë¡¼¥ë¤¬Äɲ䵤ì¤ë¡£
+.BI "-A, --append " "チェイン ルールの詳細"
+選択されたチェインの最後に 1 つ以上のルールを追加する。
+送信元や送信先の名前が 1 つ以上のアドレスに解決された場合は、
+可能なアドレスの組合せそれぞれに対してルールが追加される。
.TP
-.BI "-D, --delete " "¥Á¥§¥¤¥ó ¥ë¡¼¥ë¤Î¾ÜºÙ"
+.BI "-D, --delete " "チェイン ルールの詳細"
.ns
.TP
-.BI "-D, --delete " "¥Á¥§¥¤¥ó ¥ë¡¼¥ëÈÖ¹æ"
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤«¤é 1 ¤Ä°Ê¾å¤Î¥ë¡¼¥ë¤òºï½ü¤¹¤ë¡£
-¤³¤Î¥³¥Þ¥ó¥É¤Ë¤Ï 2 ¤Ä¤Î»È¤¤Êý¤¬¤¢¤ë:
-¥Á¥§¥¤¥ó¤ÎÃæ¤ÎÈÖ¹æ (ºÇ½é¤Î¥ë¡¼¥ë¤ò 1 ¤È¤¹¤ë) ¤ò»ØÄꤹ¤ë¾ì¹ç¤È¡¢
-¥Þ¥Ã¥Á¤¹¤ë¥ë¡¼¥ë¤ò»ØÄꤹ¤ë¾ì¹ç¤Ç¤¢¤ë¡£
-.TP
-.BR "-I, --insert " "\fI¥Á¥§¥¤¥ó\fP [\fI¥ë¡¼¥ëÈÖ¹æ\fP] \fI¥ë¡¼¥ë¤Î¾ÜºÙ"
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤Ë¥ë¡¼¥ëÈÖ¹æ¤ò»ØÄꤷ¤Æ 1 ¤Ä°Ê¾å¤Î¥ë¡¼¥ë¤òÁÞÆþ¤¹¤ë¡£
-¥ë¡¼¥ëÈֹ椬 1 ¤Î¾ì¹ç¡¢¥ë¡¼¥ë¤Ï¥Á¥§¥¤¥ó¤ÎÀèƬ¤ËÁÞÆþ¤µ¤ì¤ë¡£
-¤³¤ì¤Ï¥ë¡¼¥ëÈֹ椬»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¤Î¥Ç¥Õ¥©¥ë¥È¤Ç¤â¤¢¤ë¡£
-.TP
-.BI "-R, --replace " "¥Á¥§¥¤¥ó ¥ë¡¼¥ëÈÖ¹æ ¥ë¡¼¥ë¤Î¾ÜºÙ"
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤Ç¥ë¡¼¥ë¤òÃÖ´¹¤¹¤ë¡£
-Á÷¿®¸µ¤äÁ÷¿®Àè¤Î̾Á°¤¬ 1 ¤Ä°Ê¾å¤Î¥¢¥É¥ì¥¹¤Ë²ò·è¤µ¤ì¤¿¾ì¹ç¤Ï¡¢
-¤³¤Î¥³¥Þ¥ó¥É¤Ï¼ºÇÔ¤¹¤ë¡£¥ë¡¼¥ëÈÖ¹æ¤Ï 1 ¤«¤é¤Ï¤¸¤Þ¤ë¡£
-.TP
-.BR "-L, --list " "[\fI¥Á¥§¥¤¥ó\fP]"
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó¤Ë¤¢¤ëÁ´¤Æ¤Î¥ë¡¼¥ë¤ò°ìÍ÷ɽ¼¨¤¹¤ë¡£
-¥Á¥§¥¤¥ó¤¬»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¡¢Á´¤Æ¤Î¥Á¥§¥¤¥ó¤Ë¤¢¤ë¥ê¥¹¥È¤¬°ìÍ÷ɽ¼¨¤µ¤ì¤ë¡£
-¾¤Î³Æ iptables ¥³¥Þ¥ó¥É¤ÈƱÍͤˡ¢»ØÄꤵ¤ì¤¿¥Æ¡¼¥Ö¥ë
-(¥Ç¥Õ¥©¥ë¥È¤Ï filter) ¤ËÂФ·¤ÆºîÍѤ¹¤ë¡£
-¤è¤Ã¤Æ NAT ¥ë¡¼¥ë¤òɽ¼¨¤¹¤ë¤Ë¤Ï°Ê²¼¤Î¤è¤¦¤Ë¤¹¤ë¡£
+.BI "-D, --delete " "チェイン ルール番号"
+選択されたチェインから 1 つ以上のルールを削除する。
+このコマンドには 2 つの使い方がある:
+チェインの中の番号 (最初のルールを 1 とする) を指定する場合と、
+マッチするルールを指定する場合である。
+.TP
+.BR "-I, --insert " "\fIチェイン\fP [\fIルール番号\fP] \fIルールの詳細"
+選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。
+ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。
+これはルール番号が指定されない場合のデフォルトでもある。
+.TP
+.BI "-R, --replace " "チェイン ルール番号 ルールの詳細"
+選択されたチェインでルールを置換する。
+送信元や送信先の名前が 1 つ以上のアドレスに解決された場合は、
+このコマンドは失敗する。ルール番号は 1 からはじまる。
+.TP
+.BR "-L, --list " "[\fIチェイン\fP]"
+選択されたチェインにある全てのルールを一覧表示する。
+チェインが指定されない場合、全てのチェインにあるリストが一覧表示される。
+他の各 iptables コマンドと同様に、指定されたテーブル
+(デフォルトは filter) に対して作用する。
+よって NAT ルールを表示するには以下のようにする。
.nf
iptables -t nat -n -L
.fi
-DNS¤ÎµÕ°ú¤¤òÈò¤±¤ë¤¿¤á¤Ë¡¢¤è¤¯
+DNSの逆引きを避けるために、よく
.B -n
-¥ª¥×¥·¥ç¥ó¤È¶¦¤Ë»ÈÍѤµ¤ì¤ë¡£
+オプションと共に使用される。
.B -Z
-(¥¼¥í²½) ¥ª¥×¥·¥ç¥ó¤òƱ»þ¤Ë»ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë¡£
-¤³¤Î¾ì¹ç¡¢¥Á¥§¥¤¥ó¤ÏÍ×ÁÇËè¤Ë¥ê¥¹¥È¤µ¤ì¤Æ¡¢
-(ÌõÃð: ¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤¬) ¥¼¥í¤Ë¤µ¤ì¤ë¡£
-½ÐÎÏɽ¼¨¤ÏƱ»þ¤ËÍ¿¤¨¤é¤ì¤¿Â¾¤Î°ú¤¿ô¤Ë±Æ¶Á¤µ¤ì¤ë¡£
+(ゼロ化) オプションを同時に指定することもできる。
+この場合、チェインは要素毎にリストされて、
+(訳註: パケットカウンタとバイトカウンタが) ゼロにされる。
+出力表示は同時に与えられた他の引き数に影響される。
.nf
iptables -L -v
.fi
-¤ò»È¤ï¤Ê¤¤¸Â¤ê (ÌõÃí: -v ¥ª¥×¥·¥ç¥ó¤ò»ØÄꤷ¤Ê¤¤¸Â¤ê)¡¢
-¼ÂºÝ¤Î¥ë¡¼¥ë¤½¤Î¤â¤Î¤Ïɽ¼¨¤µ¤ì¤Ê¤¤¡£
+を使わない限り (訳注: -v オプションを指定しない限り)、
+実際のルールそのものは表示されない。
.TP
-.BR "-F, --flush " "[\fI¥Á¥§¥¤¥ó\fP]"
-ÁªÂò¤µ¤ì¤¿¥Á¥§¥¤¥ó(²¿¤â»ØÄꤷ¤Ê¤±¤ì¤Ð¥Æ¡¼¥Ö¥ëÆâ¤ÎÁ´¤Æ¤Î¥Á¥§¥¤¥ó)
-¤ÎÆâÍƤòÁ´¾Ãµî¤¹¤ë¡£
-¤³¤ì¤ÏÁ´¤Æ¤Î¥ë¡¼¥ë¤ò 1 ¸Ä¤º¤Äºï½ü¤¹¤ë¤Î¤ÈƱ¤¸¤Ç¤¢¤ë¡£
+.BR "-F, --flush " "[\fIチェイン\fP]"
+選択されたチェイン(何も指定しなければテーブル内の全てのチェイン)
+の内容を全消去する。
+これは全てのルールを 1 個ずつ削除するのと同じである。
.TP
-.BR "-Z, --zero " "[\fI¥Á¥§¥¤¥ó\fP]"
-¤¹¤Ù¤Æ¤Î¥Á¥§¥¤¥ó¤Î¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤ò¥¼¥í¤Ë¤¹¤ë¡£
-¥¯¥ê¥¢¤µ¤ì¤ëľÁ°¤Î¥«¥¦¥ó¥¿¤ò¸«¤ë¤¿¤á¤Ë¡¢
+.BR "-Z, --zero " "[\fIチェイン\fP]"
+すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。
+クリアされる直前のカウンタを見るために、
.B "-L, --list"
-(°ìÍ÷ɽ¼¨) ¥ª¥×¥·¥ç¥ó¤ÈƱ»þ¤Ë»ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë (¾åµ¤ò»²¾È)¡£
-.TP
-.BI "-N, --new-chain " "¥Á¥§¥¤¥ó"
-»ØÄꤷ¤¿Ì¾Á°¤Ç¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤òºîÀ®¤¹¤ë¡£
-Ʊ¤¸Ì¾Á°¤Î¥¿¡¼¥²¥Ã¥È¤¬´û¤Ë¸ºß¤·¤Æ¤Ï¤Ê¤é¤Ê¤¤¡£
-.TP
-.BR "-X, --delete-chain " "[\fI¥Á¥§¥¤¥ó\fP]"
-»ØÄꤷ¤¿¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤òºï½ü¤¹¤ë¡£
-¤½¤Î¥Á¥§¥¤¥ó¤¬»²¾È¤µ¤ì¤Æ¤¤¤Æ¤Ï¤Ê¤é¤Ê¤¤¡£
-¥Á¥§¥¤¥ó¤òºï½ü¤¹¤ëÁ°¤Ë¡¢¤½¤Î¥Á¥§¥¤¥ó¤ò»²¾È¤·¤Æ¤¤¤ë¥ë¡¼¥ë¤ò
-ºï½ü¤¹¤ë¤«ÃÖ¤´¹¤¨¤ë¤«¤·¤Ê¤±¤ì¤Ð¤Ê¤é¤Ê¤¤¡£
-°ú¤¿ô¤¬Í¿¤¨¤é¤ì¤Ê¤¤¾ì¹ç¡¢¥Æ¡¼¥Ö¥ë¤Ë¤¢¤ë¥Á¥§¥¤¥ó¤Î¤¦¤Á
-ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤Ç¤Ê¤¤¤â¤Î¤òÁ´¤Æºï½ü¤¹¤ë¡£
-.TP
-.BI "-P, --policy " "¥Á¥§¥¤¥ó ¥¿¡¼¥²¥Ã¥È"
-¥Á¥§¥¤¥ó¤Î¥Ý¥ê¥·¡¼¤ò¡¢»ØÄꤷ¤¿¥¿¡¼¥²¥Ã¥È¤ËÀßÄꤹ¤ë¡£
-»ØÄê²Äǽ¤Ê¥¿¡¼¥²¥Ã¥È¤Ï¡Ö\fB¥¿¡¼¥²¥Ã¥È\fR¡×¤Î¾Ï¤ò»²¾È¤¹¤ë¤³¤È¡£
-(¥æ¡¼¥¶¡¼ÄêµÁ¤Ç¤Ï¤Ê¤¤)ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤Ë¤·¤«¥Ý¥ê¥·¡¼¤ÏÀßÄê¤Ç¤¤Ê¤¤¡£
-¤Þ¤¿¡¢ÁȤ߹þ¤ßºÑ¤ß¥Á¥§¥¤¥ó¤â¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤â
-¥Ý¥ê¥·¡¼¤Î¥¿¡¼¥²¥Ã¥È¤ËÀßÄꤹ¤ë¤³¤È¤Ï¤Ç¤¤Ê¤¤¡£
-.TP
-.BI "-E, --rename-chain " "µì¥Á¥§¥¤¥ó̾ ¿·¥Á¥§¥¤¥ó̾"
-¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤ò»ØÄꤷ¤¿Ì¾Á°¤ËÊѹ¹¤¹¤ë¡£
-¤³¤ì¤Ï¸«¤¿ÌܤÀ¤±¤ÎÊѹ¹¤Ê¤Î¤Ç¡¢¥Æ¡¼¥Ö¥ë¤Î¹½Â¤¤Ë¤Ï²¿¤â±Æ¶Á¤·¤Ê¤¤¡£
+(一覧表示) オプションと同時に指定することもできる (上記を参照)。
+.TP
+.BI "-N, --new-chain " "チェイン"
+指定した名前でユーザー定義チェインを作成する。
+同じ名前のターゲットが既に存在してはならない。
+.TP
+.BR "-X, --delete-chain " "[\fIチェイン\fP]"
+指定したユーザー定義チェインを削除する。
+そのチェインが参照されていてはならない。
+チェインを削除する前に、そのチェインを参照しているルールを
+削除するか置き換えるかしなければならない。
+引き数が与えられない場合、テーブルにあるチェインのうち
+組み込み済みチェインでないものを全て削除する。
+.TP
+.BI "-P, --policy " "チェイン ターゲット"
+チェインのポリシーを、指定したターゲットに設定する。
+指定可能なターゲットは「\fBターゲット\fR」の章を参照すること。
+(ユーザー定義ではない)組み込み済みチェインにしかポリシーは設定できない。
+また、組み込み済みチェインもユーザー定義チェインも
+ポリシーのターゲットに設定することはできない。
+.TP
+.BI "-E, --rename-chain " "旧チェイン名 新チェイン名"
+ユーザー定義チェインを指定した名前に変更する。
+これは見た目だけの変更なので、テーブルの構造には何も影響しない。
.TP
.B -h
-¥Ø¥ë¥×¡£
-(º£¤Î¤È¤³¤í¤Ï¤È¤Æ¤â´Êñ¤Ê) ¥³¥Þ¥ó¥É½ñ¼°¤ÎÀâÌÀ¤òɽ¼¨¤¹¤ë¡£
-.SS ¥Ñ¥é¥á¡¼¥¿
-°Ê²¼¤Î¥Ñ¥é¥á¡¼¥¿¤Ï (add, delete, insert,
-replace, append ¥³¥Þ¥ó¥É¤ÇÍѤ¤¤é¤ì¤Æ) ¥ë¡¼¥ë¤Î»ÅÍͤò·è¤á¤ë¡£
+ヘルプ。
+(今のところはとても簡単な) コマンド書式の説明を表示する。
+.SS ã\83\91ã\83©ã\83¡ã\83¼ã\82¿
+以下のパラメータは (add, delete, insert,
+replace, append コマンドで用いられて) ルールの仕様を決める。
.TP
.BR "-p, --protocol " "[!] \fIprotocol\fP"
-¥ë¡¼¥ë¤Ç»È¤ï¤ì¤ë¥×¥í¥È¥³¥ë¡¢¤Þ¤¿¤Ï¥Á¥§¥Ã¥¯¤µ¤ì¤ë¥Ñ¥±¥Ã¥È¤Î¥×¥í¥È¥³¥ë¡£
-»ØÄê¤Ç¤¤ë¥×¥í¥È¥³¥ë¤Ï¡¢
+ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。
+指定できるプロトコルは、
.IR tcp ,
.IR udp ,
.IR icmp ,
.I all
-¤Î¤¤¤º¤ì¤« 1 ¤Ä¤«¡¢¿ôÃͤǤ¢¤ë¡£
-¿ôÃͤˤϡ¢¤³¤ì¤é¤Î¥×¥í¥È¥³¥ë¤Î¤É¤ì¤«¤Ê¤¤¤·Ê̤Υץí¥È¥³¥ë¤òɽ¤¹
-¿ôÃͤò»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-/etc/protocols ¤Ë¤¢¤ë¥×¥í¥È¥³¥ë̾¤â»ØÄê¤Ç¤¤ë¡£
-¥×¥í¥È¥³¥ë¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢¤½¤Î¥×¥í¥È¥³¥ë¤ò½ü³°¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ë¤Ê¤ë¡£
-¿ôÃÍ 0 ¤Ï
+のいずれか 1 つか、数値である。
+数値には、これらのプロトコルのどれかないし別のプロトコルを表す
+数値を指定することができる。
+/etc/protocols にあるプロトコル名も指定できる。
+プロトコルの前に "!" を置くと、そのプロトコルを除外するという意味になる。
+数値 0 は
.I all
-¤ÈÅù¤·¤¤¡£
-¥×¥í¥È¥³¥ë
+と等しい。
+プロトコル
.I all
-¤ÏÁ´¤Æ¤Î¥×¥í¥È¥³¥ë¤È¥Þ¥Ã¥Á¤·¡¢
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¾Êά¤µ¤ì¤¿ºÝ¤Î¥Ç¥Õ¥©¥ë¥È¤Ç¤¢¤ë¡£
+は全てのプロトコルとマッチし、
+このオプションが省略された際のデフォルトである。
.TP
.BR "-s, --source " "[!] \fIaddress\fP[/\fImask\fP]"
-Á÷¿®¸µ¤Î»ØÄê¡£
+送信元の指定。
.I address
-¤Ï¥Û¥¹¥È̾
-(DNS ¤Î¤è¤¦¤Ê¥ê¥â¡¼¥È¤Ø¤ÎÌ䤤¹ç¤ï¤»¤Ç²ò·è¤¹¤ë̾Á°¤ò»ØÄꤹ¤ë¤Î¤ÏÈó¾ï¤ËÎɤ¯¤Ê¤¤)
-¡¦¥Í¥Ã¥È¥ï¡¼¥¯ IP ¥¢¥É¥ì¥¹ (/mask ¤ò»ØÄꤹ¤ë)¡¦
-Ä̾ï¤Î IP ¥¢¥É¥ì¥¹¡¢¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ë¡£
+はホスト名
+(DNS のようなリモートへの問い合わせで解決する名前を指定するのは非常に良くない)
+・ネットワーク IP アドレス (/mask を指定する)・
+通常の IP アドレス、のいずれかである。
.I mask
-¤Ï¥Í¥Ã¥È¥ï¡¼¥¯¥Þ¥¹¥¯¤«¡¢
-¥Í¥Ã¥È¥ï¡¼¥¯¥Þ¥¹¥¯¤Îº¸Â¦¤Ë¤¢¤ë 1 ¤Î¿ô¤ò»ØÄꤹ¤ë¿ôÃͤǤ¢¤ë¡£
-¤Ä¤Þ¤ê¡¢
+はネットワークマスクか、
+ネットワークマスクの左側にある 1 の数を指定する数値である。
+つまり、
.I 24
-¤È¤¤¤¦ mask ¤Ï
+という mask は
.I 255.255.255.0
-¤ËÅù¤·¤¤¡£
-¥¢¥É¥ì¥¹»ØÄê¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢¤½¤Î¥¢¥É¥ì¥¹¤ò½ü³°¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ë¤Ê¤ë¡£
-¥Õ¥é¥°
+に等しい。
+アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。
+ã\83\95ã\83©ã\82°
.B --src
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの別名である。
.TP
.BR "-d, --destination " "[!] \fIaddress\fP[/\fImask\fP]"
-Á÷¿®Àè¤Î»ØÄê¡£
-½ñ¼°¤Î¾Ü¤·¤¤ÀâÌÀ¤Ë¤Ä¤¤¤Æ¤Ï¡¢
+送信先の指定。
+書式の詳しい説明については、
.B -s
-(Á÷¿®¸µ) ¥Õ¥é¥°¤ÎÀâÌÀ¤ò»²¾È¤¹¤ë¤³¤È¡£
-¥Õ¥é¥°
+(送信元) フラグの説明を参照すること。
+ã\83\95ã\83©ã\82°
.B --dst
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの別名である。
.TP
.BI "-j, --jump " "target"
-¥ë¡¼¥ë¤Î¥¿¡¼¥²¥Ã¥È¡¢¤Ä¤Þ¤ê¡¢
-¥Ñ¥±¥Ã¥È¤¬¥Þ¥Ã¥Á¤·¤¿¾ì¹ç¤Ë¤É¤¦¤¹¤ë¤«¤ò»ØÄꤹ¤ë¡£
-¥¿¡¼¥²¥Ã¥È¤Ï¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó
-(¤½¤Î¥ë¡¼¥ë¼«¿È¤¬Æþ¤Ã¤Æ¤¤¤ë¥Á¥§¥¤¥ó°Ê³°) ¤Ç¤â¡¢
-¥Ñ¥±¥Ã¥È¤Î¹ÔÊý¤ò¨»þ¤Ë·èÄꤹ¤ëÆÃÊ̤ÊÁȤ߹þ¤ßºÑ¤ß¥¿¡¼¥²¥Ã¥È¤Ç¤â¡¢
-³ÈÄ¥¤µ¤ì¤¿¥¿¡¼¥²¥Ã¥È (°Ê²¼¤Î
-.RB ¡Ö ¥¿¡¼¥²¥Ã¥È¤Î³ÈÄ¥ ¡×
-¤ò»²¾È) ¤Ç¤â¤è¤¤¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¥ë¡¼¥ë¤Ë»ØÄꤵ¤ì¤Ê¤«¤Ã¤¿¾ì¹ç¤Ï¡¢
-¥ë¡¼¥ë¤Ë¥Þ¥Ã¥Á¤·¤Æ¤â¥Ñ¥±¥Ã¥È¤Î¹ÔÊý¤Ë²¿¤â±Æ¶Á¤·¤Ê¤¤¤¬¡¢
-¥ë¡¼¥ë¤Î¥«¥¦¥ó¥¿¤Ï 1 ¤Ä²Ã»»¤µ¤ì¤ë¡£
+ルールのターゲット、つまり、
+パケットがマッチした場合にどうするかを指定する。
+ターゲットはユーザー定義チェイン
+(そのルール自身が入っているチェイン以外) でも、
+パケットの行方を即時に決定する特別な組み込み済みターゲットでも、
+拡張されたターゲット (以下の
+.RB 「 ターゲットの拡張 」
+を参照) でもよい。
+このオプションがルールに指定されなかった場合は、
+ルールにマッチしてもパケットの行方に何も影響しないが、
+ルールのカウンタは 1 つ加算される。
.TP
.BR "-i, --in-interface " "[!] \fIname\fP"
-¥Ñ¥±¥Ã¥È¤ò¼õ¿®¤¹¤ë¤³¤È¤Ë¤Ê¤ë¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾
+パケットを受信することになるインターフェース名
.RB ( INPUT ,
.BR FORWARD ,
.B PREROUTING
-¥Á¥§¥¤¥ó¤ËÆþ¤ë¥Ñ¥±¥Ã¥È¤Î¤ß)¡£
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢
-¤½¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ò½ü³°¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ë¤Ê¤ë¡£
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤¬ "+" ¤Ç½ª¤Ã¤Æ¤¤¤ë¾ì¹ç¡¢
-¤½¤Î̾Á°¤Ç»Ï¤Þ¤ëǤ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¾Êά¤µ¤ì¤¿¾ì¹ç¡¢
-Ǥ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+チェインに入るパケットのみ)。
+インターフェース名の前に "!" を置くと、
+そのインターフェースを除外するという意味になる。
+インターフェース名が "+" で終っている場合、
+その名前で始まる任意のインターフェース名にマッチする。
+このオプションが省略された場合、
+任意のインターフェース名にマッチする。
.TP
.BR "-o, --out-interface " "[!] \fIname\fP"
-¥Ñ¥±¥Ã¥È¤òÁ÷¿®¤¹¤ë¤³¤È¤Ë¤Ê¤ë¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾
+パケットを送信することになるインターフェース名
.RB ( FORWARD ,
.BR OUTPUT ,
.B POSTROUTING
-¥Á¥§¥¤¥ó¤ËÆþ¤ë¥Ñ¥±¥Ã¥È¤Î¤ß)¡£
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢
-¤½¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ò½ü³°¤¹¤ë¤È¤¤¤¦°ÕÌ£¤Ë¤Ê¤ë¡£
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤¬ "+" ¤Ç½ª¤Ã¤Æ¤¤¤ë¾ì¹ç¡¢
-¤½¤Î̾Á°¤Ç»Ï¤Þ¤ëǤ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¾Êά¤µ¤ì¤¿¾ì¹ç¡¢
-Ǥ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+チェインに入るパケットのみ)。
+インターフェース名の前に "!" を置くと、
+そのインターフェースを除外するという意味になる。
+インターフェース名が "+" で終っている場合、
+その名前で始まる任意のインターフェース名にマッチする。
+このオプションが省略された場合、
+任意のインターフェース名にマッチする。
.TP
.B "[!] " "-f, --fragment"
-¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢Ê¬³ä¤µ¤ì¤¿¥Ñ¥±¥Ã¥È (fragmented packet) ¤Î¤¦¤Á
-2 ÈÖÌܰʹߤΥѥ±¥Ã¥È¤À¤±¤ò»²¾È¤¹¤ë¥ë¡¼¥ë¤Ç¤¢¤ë¤³¤È¤ò°ÕÌ£¤¹¤ë¡£
-¤³¤Î¤è¤¦¤Ê¥Ñ¥±¥Ã¥È (¤Þ¤¿¤Ï ICMP ¥¿¥¤¥×¤Î¥Ñ¥±¥Ã¥È) ¤Ï
-Á÷¿®¸µ¡¦Á÷¿®Àè¥Ý¡¼¥È¤òÃΤëÊýË¡¤¬¤Ê¤¤¤Î¤Ç¡¢
-Á÷¿®¸µ¤äÁ÷¿®Àè¤ò»ØÄꤹ¤ë¤è¤¦¤Ê¥ë¡¼¥ë¤Ë¤Ï¥Þ¥Ã¥Á¤·¤Ê¤¤¡£
-"-f" ¥Õ¥é¥°¤ÎÁ°¤Ë "!" ¤òÃÖ¤¯¤È¡¢
-ʬ³ä¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤Î¤¦¤ÁºÇ½é¤Î¤â¤Î¤«¡¢
-ʬ³ä¤µ¤ì¤Æ¤¤¤Ê¤¤¥Ñ¥±¥Ã¥È¤À¤±¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+このオプションは、分割されたパケット (fragmented packet) のうち
+2 番目以降のパケットだけを参照するルールであることを意味する。
+このようなパケット (または ICMP タイプのパケット) は
+送信元・送信先ポートを知る方法がないので、
+送信元や送信先を指定するようなルールにはマッチしない。
+"-f" フラグの前に "!" を置くと、
+分割されたパケットのうち最初のものか、
+分割されていないパケットだけにマッチする。
.TP
.BI "-c, --set-counters " "PKTS BYTES"
-¤³¤Î¥ª¥×¥·¥ç¥ó¤ò»È¤¦¤È¡¢
+このオプションを使うと、
.RB ( insert ,
.BR append ,
.B replace
-Áàºî¤Ë¤ª¤¤¤Æ) ´ÉÍý¼Ô¤Ï¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤ò
-½é´ü²½¤¹¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-.SS ¤½¤Î¾¤Î¥ª¥×¥·¥ç¥ó
-¤½¤Î¾¤Ë°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤ò»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë:
+操作において) 管理者はパケットカウンタとバイトカウンタを
+初期化することができる。
+.SS その他のオプション
+その他に以下のオプションを指定することができる:
.TP
.B "-v, --verbose"
-¾ÜºÙ¤Ê½ÐÎϤò¹Ô¤¦¡£
-list ¥³¥Þ¥ó¥É¤ÎºÝ¤Ë¡¢¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¡¦
-(¤â¤·¤¢¤ì¤Ð) ¥ë¡¼¥ë¤Î¥ª¥×¥·¥ç¥ó¡¦TOS ¥Þ¥¹¥¯¤òɽ¼¨¤µ¤»¤ë¡£
-¥Ñ¥±¥Ã¥È¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤âɽ¼¨¤µ¤ì¤ë¡£
-ź»ú 'K', 'M', 'G' ¤Ï¡¢
-¤½¤ì¤¾¤ì 1000, 1,000,000, 1,000,000,000 Çܤòɽ¤¹
-(¤³¤ì¤òÊѹ¹¤¹¤ë
+詳細な出力を行う。
+list コマンドの際に、インターフェース名・
+(もしあれば) ルールのオプション・TOS マスクを表示させる。
+パケットとバイトカウンタも表示される。
+添字 'K', 'M', 'G' は、
+それぞれ 1000, 1,000,000, 1,000,000,000 倍を表す
+(これを変更する
.B -x
-¥Õ¥é¥°¤â¸«¤è)¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤ò append, insert, delete, replace ¥³¥Þ¥ó¥É¤ËŬÍѤ¹¤ë¤È¡¢
-¥ë¡¼¥ë¤Ë¤Ä¤¤¤Æ¤Î¾ÜºÙ¤Ê¾ðÊó¤òɽ¼¨¤¹¤ë¡£
+フラグも見よ)。
+このオプションを append, insert, delete, replace コマンドに適用すると、
+ルールについての詳細な情報を表示する。
.TP
.B "-n, --numeric"
-¿ôÃͤˤè¤ë½ÐÎϤò¹Ô¤¦¡£
-IP ¥¢¥É¥ì¥¹¤ä¥Ý¡¼¥ÈÈÖ¹æ¤ò¿ôÃͤˤè¤ë¥Õ¥©¡¼¥Þ¥Ã¥È¤Çɽ¼¨¤¹¤ë¡£
-¥Ç¥Õ¥©¥ë¥È¤Ç¤Ï¡¢iptables ¤Ï (²Äǽ¤Ç¤¢¤ì¤Ð) ¤³¤ì¤é¤Î¾ðÊó¤ò
-¥Û¥¹¥È̾¡¦¥Í¥Ã¥È¥ï¡¼¥¯Ì¾¡¦¥µ¡¼¥Ó¥¹Ì¾¤Çɽ¼¨¤·¤è¤¦¤È¤¹¤ë¡£
+数値による出力を行う。
+IP アドレスやポート番号を数値によるフォーマットで表示する。
+デフォルトでは、iptables は (可能であれば) これらの情報を
+ホスト名・ネットワーク名・サービス名で表示しようとする。
.TP
.B "-x, --exact"
-¸·Ì©¤Ê¿ôÃͤÇɽ¼¨¤¹¤ë¡£
-¥Ñ¥±¥Ã¥È¥«¥¦¥ó¥¿¤È¥Ð¥¤¥È¥«¥¦¥ó¥¿¤ò¡¢
-K (1000 ¤Î²¿Çܤ«)¡¦M (1000K ¤Î²¿Çܤ«)¡¦G (1000M ¤Î²¿Çܤ«) ¤Ç¤Ï¤Ê¤¯¡¢
-¸·Ì©¤ÊÃͤÇɽ¼¨¤¹¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢
+厳密な数値で表示する。
+パケットカウンタとバイトカウンタを、
+K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か) ではなく、
+厳密な値で表示する。
+このオプションは、
.B -L
-¥³¥Þ¥ó¥É¤È¤·¤«´Ø·¸¤·¤Ê¤¤¡£
+コマンドとしか関係しない。
.TP
.B "--line-numbers"
-¥ë¡¼¥ë¤ò°ìÍ÷ɽ¼¨¤¹¤ëºÝ¡¢¤½¤Î¥ë¡¼¥ë¤¬¥Á¥§¥¤¥ó¤Î¤É¤Î°ÌÃ֤ˤ¢¤ë¤«¤òɽ¤¹
-¹ÔÈÖ¹æ¤ò³Æ¹Ô¤Î»Ï¤á¤ËÉղ乤롣
+ルールを一覧表示する際、そのルールがチェインのどの位置にあるかを表す
+行番号を各行の始めに付加する。
.TP
.B "--modprobe=command"
-¥Á¥§¥¤¥ó¤Ë¥ë¡¼¥ë¤òÄɲäޤ¿¤ÏÁÞÆþ¤¹¤ëºÝ¤Ë¡¢
-(¥¿¡¼¥²¥Ã¥È¤ä¥Þ¥Ã¥Á¥ó¥°¤Î³ÈÄ¥¤Ê¤É¤Ç) ɬÍפʥ⥸¥å¡¼¥ë¤ò¥í¡¼¥É¤¹¤ë¤¿¤á¤Ë»È¤¦
+チェインにルールを追加または挿入する際に、
+(ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う
.B command
-¤ò»ØÄꤹ¤ë¡£
-.SH ¥Þ¥Ã¥Á¥ó¥°¤Î³ÈÄ¥
-iptables ¤Ï³ÈÄ¥¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¥Þ¥Ã¥Á¥ó¥°¥â¥¸¥å¡¼¥ë¤ò»È¤¦¤³¤È¤¬¤Ç¤¤ë¡£
-¤³¤ì¤é¤Î¥â¥¸¥å¡¼¥ë¤Ï 2 ¼ïÎà¤ÎÊýË¡¤Ç¥í¡¼¥É¤µ¤ì¤ë:
-¥â¥¸¥å¡¼¥ë¤Ï¡¢
+を指定する。
+.SH マッチングの拡張
+iptables は拡張されたパケットマッチングモジュールを使うことができる。
+これらのモジュールは 2 種類の方法でロードされる:
+モジュールは、
.B -p
-¤Þ¤¿¤Ï
+または
.B --protocol
-¤Ç°ÅÌۤΤ¦¤Á¤Ë»ØÄꤵ¤ì¤ë¤«¡¢
+で暗黙のうちに指定されるか、
.B -m
-¤Þ¤¿¤Ï
+または
.B --match
-¤Î¸å¤Ë¥â¥¸¥å¡¼¥ë̾¤ò³¤±¤Æ»ØÄꤵ¤ì¤ë¡£
-¤³¤ì¤é¤Î¥â¥¸¥å¡¼¥ë¤Î¸å¤í¤Ë¤Ï¡¢¥â¥¸¥å¡¼¥ë¤Ë±þ¤¸¤Æ
-¾¤Î¤¤¤í¤¤¤í¤Ê¥³¥Þ¥ó¥É¥é¥¤¥ó¥ª¥×¥·¥ç¥ó¤ò»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-Ê£¿ô¤Î³ÈÄ¥¥Þ¥Ã¥Á¥ó¥°¥â¥¸¥å¡¼¥ë¤ò°ì¹Ô¤Ç»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-¤Þ¤¿¡¢¥â¥¸¥å¡¼¥ë¤ËÆÃͤΥإë¥×¤òɽ¼¨¤µ¤»¤ë¤¿¤á¤Ë¤Ï¡¢
-¥â¥¸¥å¡¼¥ë¤ò»ØÄꤷ¤¿¸å¤Ç
+の後にモジュール名を続けて指定される。
+これらのモジュールの後ろには、モジュールに応じて
+他のいろいろなコマンドラインオプションを指定することができる。
+複数の拡張マッチングモジュールを一行で指定することができる。
+また、モジュールに特有のヘルプを表示させるためには、
+モジュールを指定した後で
.B -h
-¤Þ¤¿¤Ï
+または
.B --help
-¤ò»ØÄꤹ¤ì¤Ð¤è¤¤¡£
+を指定すればよい。
-°Ê²¼¤Î³ÈÄ¥¤¬¥Ù¡¼¥¹¥Ñ¥Ã¥±¡¼¥¸¤Ë´Þ¤Þ¤ì¤Æ¤¤¤ë¡£
-ÂçÉôʬ¤Î¤â¤Î¤Ï¡¢
+以下の拡張がベースパッケージに含まれている。
+大部分のものは、
.B !
-¤òÁ°¤Ë¤ª¤¯¤³¤È¤Ë¤è¤Ã¤Æ
-¥Þ¥Ã¥Á¥ó¥°¤Î°ÕÌ£¤òµÕ¤Ë¤Ç¤¤ë¡£
+を前におくことによって
+マッチングの意味を逆にできる。
.SS ah
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï IPSec ¥Ñ¥±¥Ã¥È¤Î AH ¥Ø¥Ã¥À¡¼¤Î SPI Ãͤ˥ޥåÁ¤¹¤ë¡£
+このモジュールは IPSec パケットの AH ヘッダーの SPI 値にマッチする。
.TP
.BR "--ahspi " "[!] \fIspi\fP[:\fIspi\fP]"
.SS conntrack
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢ÀܳÄÉÀ× (connection tracking) ¤ÈÁȤ߹ç¤ï¤»¤ÆÍѤ¤¤ë¤È¡¢
-"state" ¥Þ¥Ã¥Á¤è¤ê¤â¤µ¤é¤Ë¿¤¯¤Î¡¢
-¥Ñ¥±¥Ã¥È¤Ë¤Ä¤¤¤Æ¤ÎÀܳÄÉÀ×¾õÂÖ¤òÃΤ뤳¤È¤¬¤Ç¤¤ë
-(¤³¤Îµ¡Ç½¤ò¥µ¥Ý¡¼¥È¤·¤¿¥«¡¼¥Í¥ë¤Î¤â¤È¤Ç iptables ¤¬¥³¥ó¥Ñ¥¤¥ë¤µ¤ì¤¿¾ì¹ç
-¤Ë¤Î¤ß¡¢¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¸ºß¤¹¤ë)¡£
+このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、
+"state" マッチよりもさらに多くの、
+パケットについての接続追跡状態を知ることができる
+(この機能をサポートしたカーネルのもとで iptables がコンパイルされた場合
+にのみ、このモジュールは存在する)。
.TP
.BI "--ctstate " "state"
-state ¤Ï¡¢¥Þ¥Ã¥Á¥ó¥°ÂоݤȤʤ롢¥³¥ó¥Þ¶èÀÚ¤ê¤ÎÀܳ¾õÂ֥ꥹ¥È¤Ç¤¢¤ë¡£
-»ØÄê²Äǽ¤Ê state ¤Ï°Ê²¼¤ÎÄ̤ꡣ
+state は、マッチング対象となる、コンマ区切りの接続状態リストである。
+指定可能な state は以下の通り。
.BR INVALID :
-¥á¥â¥ê¤ò»È¤¤²Ì¤¿¤·¤¿°Ù¤ä¡¢
-´ûÃΤÎÀܳ¤È¤ÏÂбþ¤·¤Ê¤¤ ICMP ¥¨¥é¡¼¤Ê¤É¡¢
-²¿¤é¤«¤ÎÍýͳ¤Ë¤è¤ê¥Ñ¥±¥Ã¥È¤¬¼±Ê̤Ǥ¤Ê¤¤¡£
+メモリを使い果たした為や、
+既知の接続とは対応しない ICMP エラーなど、
+何らかの理由によりパケットが識別できない。
.BR ESTABLISHED :
-¤³¤Î¥Ñ¥±¥Ã¥È¤Ï¡¢²áµîÁÐÊý¸þ¤Ë¥Ñ¥±¥Ã¥È¤¬¤ä¤ê¼è¤ê¤µ¤ì¤¿Àܳ¤Ë°¤¹¤ë¥Ñ¥±¥Ã¥È¤Ç¤¢¤ë¡£
+このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。
.BR NEW :
-¤³¤Î¥Ñ¥±¥Ã¥È¤¬¿·¤·¤¤Àܳ¤ò³«»Ï¤·¤¿¤«¡¢
-ÁÐÊý¸þ¤Ë¤Ï¥Ñ¥±¥Ã¥È¤¬¤ä¤ê¼è¤ê¤µ¤ì¤Æ¤¤¤Ê¤¤Àܳ¤Ë°¤¹¤ë¥Ñ¥±¥Ã¥È¤Ç¤¢¤ë¡£
+このパケットが新しい接続を開始したか、
+双方向にはパケットがやり取りされていない接続に属するパケットである。
.BR RELATED :
-¤³¤Î¥Ñ¥±¥Ã¥È¤¬¿·¤·¤¤Àܳ¤ò³«»Ï¤·¤Æ¤¤¤ë¤¬¡¢
-FTP ¥Ç¡¼¥¿Å¾Á÷¤ä ICMP ¥¨¥é¡¼¤Î¤è¤¦¤Ë¡¢´û¸¤ÎÀܳ¤Ë´Ø·¸¤·¤Æ¤¤¤ë¡£
+このパケットが新しい接続を開始しているが、
+FTP データ転送や ICMP エラーのように、既存の接続に関係している。
.BR SNAT :
-²¾ÁÛŪ¤Ê¾õÂ֤Ǥ¢¤ê¡¢½ñ¤´¹¤¨Á°¤ÎÁ÷¿®¸µ¥¢¥É¥ì¥¹¤¬±þÅú¤Î°¸À襢¥É¥ì¥¹¤È
-°Û¤Ê¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+仮想的な状態であり、書き換え前の送信元アドレスが応答の宛先アドレスと
+異なる場合にマッチする。
.BR DNAT :
-²¾ÁÛŪ¤Ê¾õÂ֤Ǥ¢¤ê¡¢½ñ¤´¹¤¨Á°¤Î°¸À襢¥É¥ì¥¹¤¬±þÅú¤ÎÁ÷¿®¸µ¥¢¥É¥ì¥¹¤È
-°Û¤Ê¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+仮想的な状態であり、書き換え前の宛先アドレスが応答の送信元アドレスと
+異なる場合にマッチする。
.TP
.BI "--ctproto " "proto"
-(̾Á°¤Þ¤¿¤Ï¿ôÃͤÇ) »ØÄꤵ¤ì¤¿¥×¥í¥È¥³¥ë¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+(名前または数値で) 指定されたプロトコルにマッチする。
.TP
.BI "--ctorigsrc " "[!] \fIaddress\fP[/\fImask\fP]"
-½ñ¤´¹¤¨Á°¤ÎÁ÷¿®¸µ¥¢¥É¥ì¥¹¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+書き換え前の送信元アドレスにマッチする。
.TP
.BI "--ctorigdst " "[!] \fIaddress\fP[/\fImask\fP]"
-½ñ¤´¹¤¨Á°¤Î°¸À襢¥É¥ì¥¹¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+書き換え前の宛先アドレスにマッチする。
.TP
.BI "--ctreplsrc " "[!] \fIaddress\fP[/\fImask\fP]"
-±þÅú¤ÎÁ÷¿®¸µ¥¢¥É¥ì¥¹¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+応答の送信元アドレスにマッチする。
.TP
.BI "--ctrepldst " "[!] \fIaddress\fB[/\fImask\fP]"
-±þÅú¤Î°¸À襢¥É¥ì¥¹¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+応答の宛先アドレスにマッチする。
.TP
.BI "--ctstatus " "[\fINONE|EXPECTED|SEEN_REPLY|ASSURED\fP][,...]"
-ÀܳÄÉÀפÎÆâÉôŪ¤Ê¾õÂ֤˥ޥåÁ¤¹¤ë¡£
+接続追跡の内部的な状態にマッチする。
.TP
.BI "--ctexpire " "\fItime\fP[\fI:time\fP]"
-͸ú´ü´Ö¤Î»Ä¤êÉÿô¡¢¤Þ¤¿¤Ï¤½¤ÎÈÏ°Ï(ξü¤ò´Þ¤à)¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+有効期間の残り秒数、またはその範囲(両端を含む)にマッチする。
.SS dscp
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢IP ¥Ø¥Ã¥À¡¼¤Î TOS ¥Õ¥£¡¼¥ë¥ÉÆâ¤Ë¤¢¤ë¡¢
-6 bit ¤Î DSCP ¥Õ¥£¡¼¥ë¥É¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-IETF ¤Ç¤Ï DSCP ¤¬ TOS ¤Ë¼è¤Ã¤ÆÂå¤ï¤Ã¤¿¡£
+このモジュールは、IP ヘッダーの TOS フィールド内にある、
+6 bit の DSCP フィールドにマッチする。
+IETF では DSCP が TOS に取って代わった。
.TP
.BI "--dscp " "value"
-(10 ¿Ê¤Þ¤¿¤Ï 16 ¿Ê¤Î) ¿ôÃÍ [0\-63] ¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+(10 進または 16 進の) 数値 [0\-63] にマッチする。
.TP
.BI "--dscp-class " "\fIDiffServ Class\fP"
-DiffServ ¥¯¥é¥¹¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-ÃÍ¤Ï BE, EF, AFxx, CSx ¥¯¥é¥¹¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ë¡£
-¤³¤ì¤é¤Ï¡¢Âбþ¤¹¤ë¿ôÃͤǻØÄꤹ¤ë¤Î¤ÈƱ¤¸¤Ç¤¢¤ë¡£
+DiffServ クラスにマッチする。
+値は BE, EF, AFxx, CSx クラスのいずれかである。
+これらは、対応する数値で指定するのと同じである。
.SS esp
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï IPSec ¥Ñ¥±¥Ã¥È¤Î ESP ¥Ø¥Ã¥À¡¼¤Î SPI Ãͤ˥ޥåÁ¤¹¤ë¡£
+このモジュールは IPSec パケットの ESP ヘッダーの SPI 値にマッチする。
.TP
.BR "--espspi " "[!] \fIspi\fP[:\fIspi\fP]"
.SS helper
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢»ØÄꤵ¤ì¤¿ÀܳÄÉÀץإë¥Ñ¡¼¥â¥¸¥å¡¼¥ë¤Ë
-´ØÏ¢¤¹¤ë¥Ñ¥±¥Ã¥È¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+このモジュールは、指定された接続追跡ヘルパーモジュールに
+関連するパケットにマッチする。
.TP
.BI "--helper " "string"
-»ØÄꤵ¤ì¤¿ÀܳÄÉÀץإë¥Ñ¡¼¥â¥¸¥å¡¼¥ë¤Ë
-´ØÏ¢¤¹¤ë¥Ñ¥±¥Ã¥È¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定された接続追跡ヘルパーモジュールに
+関連するパケットにマッチする。
.RS
.PP
-¥Ç¥Õ¥©¥ë¥È¤Î¥Ý¡¼¥È¤ò»È¤Ã¤¿ ftp-¥»¥Ã¥·¥ç¥ó¤Ë´ØÏ¢¤¹¤ë¥Ñ¥±¥Ã¥È¤Ç¤Ï¡¢
-string ¤Ë "ftp" ¤È½ñ¤±¤ë¡£
-¾¤Î¥Ý¡¼¥È¤Ç¤Ï "\-¥Ý¡¼¥ÈÈÖ¹æ" ¤òÃͤËÉÕ¤±²Ã¤¨¤ë¡£
-¤¹¤Ê¤ï¤Á "ftp-2121" ¤È¤Ê¤ë¡£
+デフォルトのポートを使った ftp-セッションに関連するパケットでは、
+string に "ftp" と書ける。
+他のポートでは "\-ポート番号" を値に付け加える。
+すなわち "ftp-2121" となる。
.PP
-¾¤ÎÀܳÄÉÀץإë¥Ñ¡¼¤Ç¤âƱ¤¸¥ë¡¼¥ë¤¬Å¬ÍѤµ¤ì¤ë¡£
+他の接続追跡ヘルパーでも同じルールが適用される。
.RE
.SS icmp
-¤³¤Î³ÈÄ¥¤Ï `--protocol icmp' ¤¬»ØÄꤵ¤ì¤¿¾ì¹ç¤Ë¥í¡¼¥É¤µ¤ì¡¢
-°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤¬Ä󶡤µ¤ì¤ë:
+この拡張は `--protocol icmp' が指定された場合にロードされ、
+以下のオプションが提供される:
.TP
.BR "--icmp-type " "[!] \fItypename\fP"
-¿ôÃͤΠICMP ¥¿¥¤¥×¡¢¤Þ¤¿¤Ï¥³¥Þ¥ó¥É
+数値の ICMP タイプ、またはコマンド
.nf
iptables -p icmp -h
.fi
-¤Çɽ¼¨¤µ¤ì¤ë ICMP ¥¿¥¤¥×̾¤ò»ØÄê¤Ç¤¤ë¡£
+で表示される ICMP タイプ名を指定できる。
.SS length
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢»ØÄꤵ¤ì¤¿¥Ñ¥±¥Ã¥ÈĹ¡¢¤Þ¤¿¤Ï¤½¤ÎÈϰϤ˥ޥåÁ¤¹¤ë¡£
+このモジュールは、指定されたパケット長、またはその範囲にマッチする。
.TP
.BR "--length " "\fIlength\fP[:\fIlength\fP]"
.SS limit
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢¥È¡¼¥¯¥ó¥Ð¥±¥Ä¥Õ¥£¥ë¥¿¤ò»È¤¤¡¢
-ñ°Ì»þ´Ö¤¢¤¿¤êÀ©¸Â¤µ¤ì¤¿²ó¿ô¤À¤±¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î³ÈÄ¥¤ò»È¤Ã¤¿¥ë¡¼¥ë¤Ï¡¢(`!' ¥Õ¥é¥°¤¬»ØÄꤵ¤ì¤Ê¤¤¸Â¤ê)
-À©¸Â¤Ë㤹¤ë¤Þ¤Ç¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¥â¥¸¥å¡¼¥ë¤ÏÎ㤨¤Ð¡¢¥í¥°µÏ¿¤òÀ©¸Â¤¹¤ë¤¿¤á¤Ë
+このモジュールは、トークンバケツフィルタを使い、
+単位時間あたり制限された回数だけマッチする。
+この拡張を使ったルールは、(`!' フラグが指定されない限り)
+制限に達するまでマッチする。
+このモジュールは例えば、ログ記録を制限するために
.B LOG
-¥¿¡¼¥²¥Ã¥È¤ÈÁȤ߹ç¤ï¤»¤Æ»È¤¦¤³¤È¤¬¤Ç¤¤ë¡£
+ターゲットと組み合わせて使うことができる。
.TP
.BI "--limit " "rate"
-ñ°Ì»þ´Ö¤¢¤¿¤ê¤ÎÊ¿¶Ñ¥Þ¥Ã¥Á²ó¿ô¤ÎºÇÂçÃÍ¡£
-¿ôÃͤǻØÄꤵ¤ì¡¢Åº»ú `/second', `/minute',
-`/hour', `/day' ¤òÉÕ¤±¤ë¤³¤È¤â¤Ç¤¤ë¡£
-¥Ç¥Õ¥©¥ë¥È¤Ï 3/hour ¤Ç¤¢¤ë¡£
+単位時間あたりの平均マッチ回数の最大値。
+数値で指定され、添字 `/second', `/minute',
+`/hour', `/day' を付けることもできる。
+デフォルトは 3/hour である。
.TP
.BI "--limit-burst " "number"
-¥Ñ¥±¥Ã¥È¤¬¥Þ¥Ã¥Á¤¹¤ë²ó¿ô¤ÎºÇÂç½é´üÃÍ:
-¥Þ¥Ã¥Á²ó¿ô¤ÎºÇÂçÃͤϡ¢
-¾å¤Î¥ª¥×¥·¥ç¥ó¤Ç»ØÄꤷ¤¿À©¸Â¤Ë㤷¤Ê¤±¤ì¤Ð¡¢
-¤½¤ÎÅÙ¤´¤È¤Ë¡¢¤³¤Î¿ôÃͤˤʤë¤Þ¤Ç 1 ¸Ä¤º¤ÄÁý¤ä¤µ¤ì¤ë¡£
-¥Ç¥Õ¥©¥ë¥È¤Ï 5 ¤Ç¤¢¤ë¡£
+パケットがマッチする回数の最大初期値:
+マッチ回数の最大値は、
+上のオプションで指定した制限に達しなければ、
+その度ごとに、この数値になるまで 1 個ずつ増やされる。
+デフォルトは 5 である。
.SS mac
.TP
.BR "--mac-source " "[!] \fIaddress\fP"
-Á÷¿®¸µ MAC ¥¢¥É¥ì¥¹¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+送信元 MAC アドレスにマッチする。
.I address
-¤Ï XX:XX:XX:XX:XX:XX ¤È¤¤¤¦·Á¼°¤Ç¤Ê¤±¤ì¤Ð¤Ê¤é¤Ê¤¤¡£
-¥¤¡¼¥µ¡¼¥Í¥Ã¥È¥Ç¥Ð¥¤¥¹¤«¤éÆþ¤Ã¤Æ¤¯¤ë¥Ñ¥±¥Ã¥È¤Ç¡¢
+は XX:XX:XX:XX:XX:XX という形式でなければならない。
+イーサーネットデバイスから入ってくるパケットで、
.BR PREROUTING ,
.BR FORWARD ,
.B INPUT
-¥Á¥§¥¤¥ó¤ËÆþ¤ë¥Ñ¥±¥Ã¥È¤Ë¤·¤«°ÕÌ£¤¬¤Ê¤¤¡£
+チェインに入るパケットにしか意味がない。
.SS mark
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¥Ñ¥±¥Ã¥È¤Ë´ØÏ¢¤Å¤±¤é¤ì¤¿
-netfilter ¤Î mark ¥Õ¥£¡¼¥ë¥É¤Ë¥Þ¥Ã¥Á¤¹¤ë
-(¤³¤Î¥Õ¥£¡¼¥ë¥É¤Ï¡¢°Ê²¼¤Î
+このモジュールはパケットに関連づけられた
+netfilter の mark フィールドにマッチする
+(このフィールドは、以下の
.B MARK
-¥¿¡¼¥²¥Ã¥È¤ÇÀßÄꤵ¤ì¤ë)¡£
+ターゲットで設定される)。
.TP
.BR "--mark " "\fIvalue\fP[/\fImask\fP]"
-»ØÄꤵ¤ì¤¿Éä¹æ¤Ê¤· mark ÃͤΥѥ±¥Ã¥È¤Ë¥Þ¥Ã¥Á¤¹¤ë
-(mask ¤¬»ØÄꤵ¤ì¤ë¤È¡¢Èæ³Ó¤ÎÁ°¤Ë mask ¤È¤ÎÏÀÍýÀÑ (AND) ¤¬¤È¤é¤ì¤ë)¡£
+指定された符号なし mark 値のパケットにマッチする
+(mask が指定されると、比較の前に mask との論理積 (AND) がとられる)。
.SS multiport
-¤³¤Î¥â¥¸¥å¡¼¥ë¤ÏÁ÷¿®¸µ¤äÁ÷¿®Àè¤Î¥Ý¡¼¥È¤Î½¸¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¥Ý¡¼¥È¤Ï 15 ¸Ä¤Þ¤Ç»ØÄê¤Ç¤¤ë¡£
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï
+このモジュールは送信元や送信先のポートの集合にマッチする。
+ポートは 15 個まで指定できる。
+このモジュールは
.B "-p tcp"
-¤Þ¤¿¤Ï
+または
.B "-p udp"
-¤ÈÁȤ߹ç¤ï¤»¤Æ»È¤¦¤³¤È¤·¤«¤Ç¤¤Ê¤¤¡£
+と組み合わせて使うことしかできない。
.TP
.BR "--source-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-Á÷¿®¸µ¥Ý¡¼¥È¤¬»ØÄꤵ¤ì¤¿¥Ý¡¼¥È¤Î¤¦¤Á¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ì¤Ð¥Þ¥Ã¥Á¤¹¤ë¡£
-¥Õ¥é¥°
+送信元ポートが指定されたポートのうちのいずれかであればマッチする。
+ã\83\95ã\83©ã\82°
.B --sports
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊØÍø¤ÊÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの便利な別名である。
.TP
.BR "--destination-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-°¸Àè¥Ý¡¼¥È¤¬»ØÄꤵ¤ì¤¿¥Ý¡¼¥È¤Î¤¦¤Á¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ì¤Ð¥Þ¥Ã¥Á¤¹¤ë¡£
-¥Õ¥é¥°
+宛先ポートが指定されたポートのうちのいずれかであればマッチする。
+ã\83\95ã\83©ã\82°
.B --dports
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊØÍø¤ÊÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの便利な別名である。
.TP
.BR "--ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-Á÷¿®¸µ¥Ý¡¼¥È¤È°¸Àè¥Ý¡¼¥È¤¬Åù¤·¤¯¡¢
-¤«¤Ä¤½¤Î¥Ý¡¼¥È¤¬»ØÄꤵ¤ì¤¿¥Ý¡¼¥È¤Î¤¦¤Á¤Î¤¤¤º¤ì¤«¤Ç¤¢¤ì¤Ð¥Þ¥Ã¥Á¤¹¤ë¡£
+送信元ポートと宛先ポートが等しく、
+かつそのポートが指定されたポートのうちのいずれかであればマッチする。
.SS owner
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢¥í¡¼¥«¥ë¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤ËÉÕ¤¤¤Æ¡¢
-¥Ñ¥±¥Ã¥ÈÀ¸À®¼Ô¤Î¤¤¤í¤¤¤í¤ÊÆÃÀ¤ËÂФ·¤Æ¥Þ¥Ã¥Á¤ò¹Ô¤¦¡£
-¤³¤ì¤Ï
+このモジュールは、ローカルで生成されたパケットに付いて、
+パケット生成者のいろいろな特性に対してマッチを行う。
+これは
.B OUTPUT
-¥Á¥§¥¤¥ó¤Î¤ß¤Ç¤·¤«Í¸ú¤Ç¤Ê¤¤¡£
-¤Þ¤¿¡¢(ICMP ping ±þÅú¤Î¤è¤¦¤Ê) ¥Ñ¥±¥Ã¥È¤Ï¡¢
-½êͼԤ¬¤¤¤Ê¤¤¤Î¤ÇÀäÂФ˥ޥåÁ¤·¤Ê¤¤¡£
+チェインのみでしか有効でない。
+また、(ICMP ping 応答のような) パケットは、
+所有者がいないので絶対にマッチしない。
.TP
.BI "--uid-owner " "userid"
-»ØÄꤵ¤ì¤¿¼Â¸ú¥æ¡¼¥¶¡¼ ID ¤Î¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定された実効ユーザー ID のプロセスにより
+パケットが生成されている場合にマッチする。
.TP
.BI "--gid-owner " "groupid"
-»ØÄꤵ¤ì¤¿¼Â¸ú¥°¥ë¡¼¥× ID ¤Î¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定された実効グループ ID のプロセスにより
+パケットが生成されている場合にマッチする。
.TP
.BI "--pid-owner " "processid"
-»ØÄꤵ¤ì¤¿¥×¥í¥»¥¹ ID ¤Î¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定されたプロセス ID のプロセスにより
+パケットが生成されている場合にマッチする。
.TP
.BI "--sid-owner " "sessionid"
-»ØÄꤵ¤ì¤¿¥»¥Ã¥·¥ç¥ó¥°¥ë¡¼¥×¤Î¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+指定されたセッショングループのプロセスにより
+パケットが生成されている場合にマッチする。
.TP
.BI "--cmd-owner " "name"
-»ØÄꤵ¤ì¤¿¥³¥Þ¥ó¥É̾¤ò»ý¤Ä¥×¥í¥»¥¹¤Ë¤è¤ê
-¥Ñ¥±¥Ã¥È¤¬À¸À®¤µ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë
-(¤³¤Îµ¡Ç½¤ò¥µ¥Ý¡¼¥È¤·¤¿¥«¡¼¥Í¥ë¤Î¤â¤È¤Ç iptables ¤¬¥³¥ó¥Ñ¥¤¥ë¤µ¤ì¤¿¾ì¹ç
-¤Ë¤Î¤ß¡¢¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¸ºß¤¹¤ë)¡£
+指定されたコマンド名を持つプロセスにより
+パケットが生成されている場合にマッチする
+(この機能をサポートしたカーネルのもとで iptables がコンパイルされた場合
+にのみ、このモジュールは存在する)。
.SS physdev
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢¥Ö¥ê¥Ã¥¸¥Ç¥Ð¥¤¥¹¤Î¥¹¥ì¡¼¥Ö¤Ë¤µ¤ì¤¿¡¢
-¥Ö¥ê¥Ã¥¸¥Ý¡¼¥È¤ÎÆþ½ÐÎϥǥХ¤¥¹¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢¥Ö¥ê¥Ã¥¸¤Ë¤è¤ëÆ©²áŪ¤Ê
-IP ¥Õ¥¡¥¤¥¢¥¦¥©¡¼¥ë¤Î´ðÈפΰìÉô¤Ç¤¢¤ê¡¢
-¥«¡¼¥Í¥ë¥Ð¡¼¥¸¥ç¥ó 2.5.44 °Ê¹ß¤Ç¤Î¤ß͸ú¤Ç¤¢¤ë¡£
+このモジュールは、ブリッジデバイスのスレーブにされた、
+ブリッジポートの入出力デバイスにマッチする。
+このモジュールは、ブリッジによる透過的な
+IP ファイアウォールの基盤の一部であり、
+カーネルバージョン 2.5.44 以降でのみ有効である。
.TP
.B --physdev-in name
-¥Ñ¥±¥Ã¥È¤¬¼õ¿®¤µ¤ì¤ë¥Ö¥ê¥Ã¥¸¤Î¥Ý¡¼¥È̾
+パケットが受信されるブリッジのポート名
.RB ( INPUT ,
.BR FORWARD ,
.B PREROUTING
-¥Á¥§¥¤¥ó¤ËÆþ¤ë¥Ñ¥±¥Ã¥È¤Î¤ß)¡£
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤¬ "+" ¤Ç½ª¤Ã¤Æ¤¤¤ë¾ì¹ç¡¢
-¤½¤Î̾Á°¤Ç»Ï¤Þ¤ëǤ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¥Ö¥ê¥Ã¥¸¥Ç¥Ð¥¤¥¹¤òÄ̤·¤Æ¼õ¤±¼è¤é¤ì¤Ê¤«¤Ã¤¿¥Ñ¥±¥Ã¥È¤Ï¡¢
-\&'!' ¤¬»ØÄꤵ¤ì¤Æ¤¤¤Ê¤¤¸Â¤ê¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤Ë¥Þ¥Ã¥Á¤·¤Ê¤¤¡£
+チェインに入るパケットのみ)。
+インターフェース名が "+" で終っている場合、
+その名前で始まる任意のインターフェース名にマッチする。
+ブリッジデバイスを通して受け取られなかったパケットは、
+\&'!' が指定されていない限り、このオプションにマッチしない。
.TP
.B --physdev-out name
-¥Ñ¥±¥Ã¥È¤òÁ÷¿®¤¹¤ë¤³¤È¤Ë¤Ê¤ë¥Ö¥ê¥Ã¥¸¤Î¥Ý¡¼¥È̾
+パケットを送信することになるブリッジのポート名
.RB ( FORWARD ,
.BR OUTPUT ,
.B POSTROUTING
-¥Á¥§¥¤¥ó¤ËÆþ¤ë¥Ñ¥±¥Ã¥È¤Î¤ß)¡£
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤¬ "+" ¤Ç½ª¤Ã¤Æ¤¤¤ë¾ì¹ç¡¢
-¤½¤Î̾Á°¤Ç»Ï¤Þ¤ëǤ°Õ¤Î¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹Ì¾¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+チェインに入るパケットのみ)。
+インターフェース名が "+" で終っている場合、
+その名前で始まる任意のインターフェース名にマッチする。
.B nat
-¤È
+と
.B mangle
-¥Æ¡¼¥Ö¥ë¤Î
+テーブルの
.B OUTPUT
-¥Á¥§¥¤¥ó¤Ç¤Ï¥Ö¥ê¥Ã¥¸¤Î½ÐÎϥݡ¼¥È¤Ë¥Þ¥Ã¥Á¤µ¤»¤ë¤³¤È¤¬¤Ç¤¤Ê¤¤¤¬¡¢
+チェインではブリッジの出力ポートにマッチさせることができないが、
.B filter
-¥Æ¡¼¥Ö¥ë¤Î
+テーブルの
.B OUPUT
-¥Á¥§¥¤¥ó¤Ç¤Ï¥Þ¥Ã¥Á²Äǽ¤Ç¤¢¤ë¡£
-¥Ñ¥±¥Ã¥È¤¬¥Ö¥ê¥Ã¥¸¥Ç¥Ð¥¤¥¹¤«¤éÁ÷¤é¤ì¤Ê¤«¤Ã¤¿¾ì¹ç¡¢
-¤Þ¤¿¤Ï¥Ñ¥±¥Ã¥È¤Î½ÐÎϥǥХ¤¥¹¤¬ÉÔÌÀ¤Ç¤¢¤Ã¤¿¾ì¹ç¤Ï¡¢
-\&'!' ¤¬»ØÄꤵ¤ì¤Æ¤¤¤Ê¤¤¸Â¤ê¡¢¥Ñ¥±¥Ã¥È¤Ï¤³¤Î¥ª¥×¥·¥ç¥ó¤Ë¥Þ¥Ã¥Á¤·¤Ê¤¤¡£
+チェインではマッチ可能である。
+パケットがブリッジデバイスから送られなかった場合、
+またはパケットの出力デバイスが不明であった場合は、
+\&'!' が指定されていない限り、パケットはこのオプションにマッチしない。
.TP
.B --physdev-is-in
-¥Ñ¥±¥Ã¥È¤¬¥Ö¥ê¥Ã¥¸¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ËÆþ¤Ã¤¿¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+パケットがブリッジインターフェースに入った場合にマッチする。
.TP
.B --physdev-is-out
-¥Ñ¥±¥Ã¥È¤¬¥Ö¥ê¥Ã¥¸¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤«¤é½Ð¤è¤¦¤È¤·¤¿¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+パケットがブリッジインターフェースから出ようとした場合にマッチする。
.TP
.B --physdev-is-bridged
-¥Ñ¥±¥Ã¥È¤¬¥Ö¥ê¥Ã¥¸¤µ¤ì¤ë¤³¤È¤Ë¤è¤ê¡¢
-¥ë¡¼¥Æ¥£¥ó¥°¤µ¤ì¤Ê¤«¤Ã¤¿¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤ì¤Ï FORWARD, POSTROUTING ¥Á¥§¥¤¥ó¤Ë¤ª¤¤¤Æ¤Î¤ßÌòΩ¤Ä¡£
+パケットがブリッジされることにより、
+ルーティングされなかった場合にマッチする。
+これは FORWARD, POSTROUTING チェインにおいてのみ役立つ。
.SS pkttype
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢¥ê¥ó¥¯ÁؤΥѥ±¥Ã¥È¥¿¥¤¥×¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+このモジュールは、リンク層のパケットタイプにマッチする。
.TP
.BI "--pkt-type " "[\fIunicast\fP|\fIbroadcast\fP|\fImulticast\fP]"
.SS state
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï¡¢ÀܳÄÉÀ× (connection tracking) ¤ÈÁȤ߹ç¤ï¤»¤ÆÍѤ¤¤ë¤È¡¢
-¥Ñ¥±¥Ã¥È¤Ë¤Ä¤¤¤Æ¤ÎÀܳÄÉÀ×¾õÂÖ¤òÃΤ뤳¤È¤¬¤Ç¤¤ë¡£
+このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、
+パケットについての接続追跡状態を知ることができる。
.TP
.BI "--state " "state"
-state ¤Ï¡¢¥Þ¥Ã¥Á¥ó¥°¤ò¹Ô¤¦¤¿¤á¤Î¡¢¥³¥ó¥Þ¤Ç¶èÀÚ¤é¤ì¤¿Àܳ¾õÂ֤Υꥹ¥È¤Ç¤¢¤ë¡£
-»ØÄê²Äǽ¤Ê state ¤Ï°Ê²¼¤ÎÄ̤ꡣ
+state は、マッチングを行うための、コンマで区切られた接続状態のリストである。
+指定可能な state は以下の通り。
.BR INVALID :
-¤³¤Î¥Ñ¥±¥Ã¥È¤Ï´ûÃΤÎÀܳ¤È´Ø·¸¤·¤Æ¤¤¤Ê¤¤¡£
+このパケットは既知の接続と関係していない。
.BR ESTABLISHED :
-¤³¤Î¥Ñ¥±¥Ã¥È¤Ï¡¢²áµîÁÐÊý¸þ¤Ë¥Ñ¥±¥Ã¥È¤¬¤ä¤ê¼è¤ê¤µ¤ì¤¿Àܳ¤Ë°¤¹¤ë¥Ñ¥±¥Ã¥È¤Ç¤¢¤ë¡£
+このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。
.BR NEW :
-¤³¤Î¥Ñ¥±¥Ã¥È¤¬¿·¤·¤¤Àܳ¤ò³«»Ï¤·¤¿¤«¡¢
-ÁÐÊý¸þ¤Ë¤Ï¥Ñ¥±¥Ã¥È¤¬¤ä¤ê¼è¤ê¤µ¤ì¤Æ¤¤¤Ê¤¤Àܳ¤Ë°¤¹¤ë¥Ñ¥±¥Ã¥È¤Ç¤¢¤ë¡£
+このパケットが新しい接続を開始したか、
+双方向にはパケットがやり取りされていない接続に属するパケットである。
.BR RELATED :
-¤³¤Î¥Ñ¥±¥Ã¥È¤¬¿·¤·¤¤Àܳ¤ò³«»Ï¤·¤Æ¤¤¤ë¤¬¡¢
-FTP ¥Ç¡¼¥¿Å¾Á÷¤ä ICMP ¥¨¥é¡¼¤Î¤è¤¦¤Ë¡¢´û¸¤ÎÀܳ¤Ë´Ø·¸¤·¤Æ¤¤¤ë¡£
+このパケットが新しい接続を開始しているが、
+FTP データ転送や ICMP エラーのように、既存の接続に関係している。
.SS tcp
-¤³¤ì¤é¤Î³ÈÄ¥¤Ï `--protocol tcp' ¤¬»ØÄꤵ¤ì¾ì¹ç¤Ë¥í¡¼¥É¤µ¤ì¡¢
-°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤¬Ä󶡤µ¤ì¤ë:
+これらの拡張は `--protocol tcp' が指定され場合にロードされ、
+以下のオプションが提供される:
.TP
.BR "--source-port " "[!] \fIport\fP[:\fIport\fP]"
-Á÷¿®¸µ¥Ý¡¼¥È¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈϰϤλØÄê¡£
-¥µ¡¼¥Ó¥¹Ì¾¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈÖ¹æ¤ò»ØÄê¤Ç¤¤ë¡£
+送信元ポートまたはポート範囲の指定。
+サービス名またはポート番号を指定できる。
.IR port : port
-¤È¤¤¤¦·Á¼°¤Ç¡¢2 ¤Ä¤ÎÈÖ¹æ¤ò´Þ¤àÈϰϤò»ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë¡£
-ºÇ½é¤Î¥Ý¡¼¥È¤ò¾Êά¤·¤¿¾ì¹ç¡¢"0" ¤ò²¾Äꤹ¤ë¡£
-ºÇ¸å¤Î¥Ý¡¼¥È¤ò¾Êά¤·¤¿¾ì¹ç¡¢"65535" ¤ò²¾Äꤹ¤ë¡£
-ºÇ½é¤Î¥Ý¡¼¥È¤¬ºÇ¸å¤Î¥Ý¡¼¥È¤è¤êÂ礤¤¾ì¹ç¡¢2 ¤Ä¤ÏÆþ¤ì´¹¤¨¤é¤ì¤ë¡£
-.\"tsekine ¸¶Ê¸¤¬´Ö°ã¤Ã¤Æ¤½¤¦
-¥Õ¥é¥°
+という形式で、2 つの番号を含む範囲を指定することもできる。
+最初のポートを省略した場合、"0" を仮定する。
+最後のポートを省略した場合、"65535" を仮定する。
+最初のポートが最後のポートより大きい場合、2 つは入れ換えられる。
+.\"tsekine 原文が間違ってそう
+ã\83\95ã\83©ã\82°
.B --sport
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊØÍø¤ÊÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの便利な別名である。
.TP
.BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]"
-Á÷¿®Àè¥Ý¡¼¥È¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈϰϤλØÄê¡£
-¥Õ¥é¥°
+送信先ポートまたはポート範囲の指定。
+ã\83\95ã\83©ã\82°
.B --dport
-¤Ï¡¢¤³¤Î¥ª¥×¥·¥ç¥ó¤ÎÊØÍø¤ÊÊÌ̾¤Ç¤¢¤ë¡£
+は、このオプションの便利な別名である。
.TP
.BR "--tcp-flags " "[!] \fImask\fP \fIcomp\fP"
-TCP ¥Õ¥é¥°¤¬»ØÄꤵ¤ì¤¿¤â¤Î¤ÈÅù¤·¤¤¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-Âè 1 °ú¤¿ô¤Ïɾ²ÁÂоݤȤ¹¤ë¥Õ¥é¥°¤Ç¡¢¥³¥ó¥Þ¶èÀÚ¤ê¤Î¥ê¥¹¥È¤Ç¤¢¤ë¡£
-Âè 2 °ú¤¿ô¤Ï¤³¤Î¤¦¤ÁÀßÄꤵ¤ì¤Æ¤¤¤Ê¤±¤ì¤Ð¤Ê¤é¤Ê¤¤¥Õ¥é¥°¤Ç¡¢
-¥³¥ó¥Þ¶èÀÚ¤ê¤Î¥ê¥¹¥È¤Ç¤¢¤ë¡£
-»ØÄê¤Ç¤¤ë¥Õ¥é¥°¤Ï
+TCP フラグが指定されたものと等しい場合にマッチする。
+第 1 引き数は評価対象とするフラグで、コンマ区切りのリストである。
+第 2 引き数はこのうち設定されていなければならないフラグで、
+コンマ区切りのリストである。
+指定できるフラグは
.B "SYN ACK FIN RST URG PSH ALL NONE"
-¤Ç¤¢¤ë¡£
-¤è¤Ã¤Æ¡¢¥³¥Þ¥ó¥É
+である。
+よって、コマンド
.nf
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
.fi
-¤Ï¡¢SYN ¥Õ¥é¥°¤¬ÀßÄꤵ¤ì ACK, FIN, RST ¥Õ¥é¥°¤¬ÀßÄꤵ¤ì¤Æ¤¤¤Ê¤¤
-¥Ñ¥±¥Ã¥È¤Ë¤Î¤ß¥Þ¥Ã¥Á¤¹¤ë¡£
+は、SYN フラグが設定され ACK, FIN, RST フラグが設定されていない
+パケットにのみマッチする。
.TP
.B "[!] --syn"
-SYN ¥Ó¥Ã¥È¤¬ÀßÄꤵ¤ì ACK ¤È RST ¥Ó¥Ã¥È¤¬¥¯¥ê¥¢¤µ¤ì¤Æ¤¤¤ë
-TCP ¥Ñ¥±¥Ã¥È¤Ë¤Î¤ß¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤Î¤è¤¦¤Ê¥Ñ¥±¥Ã¥È¤Ï TCP Àܳ¤Î³«»ÏÍ×µá¤Ë»È¤ï¤ì¤ë¡£
-Î㤨¤Ð¡¢¤¢¤ë¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ËÆþ¤Ã¤Æ¤¯¤ë¤³¤Î¤è¤¦¤Ê¥Ñ¥±¥Ã¥È¤ò¥Ö¥í¥Ã¥¯¤¹¤ì¤Ð¡¢
-Æ⦤ؤΠTCP Àܳ¤Ï¶Ø»ß¤µ¤ì¤ë¤¬¡¢³°Â¦¤Ø¤Î TCP Àܳ¤Ë¤Ï±Æ¶Á¤·¤Ê¤¤¡£
-¤³¤ì¤Ï \fB--tcp-flags SYN,RST,ACK SYN\fP ¤ÈÅù¤·¤¤¡£
-"--syn" ¤ÎÁ°¤Ë "!" ¥Õ¥é¥°¤òÃÖ¤¯¤È¡¢
-SYN ¥Ó¥Ã¥È¤¬¥¯¥ê¥¢¤µ¤ì ACK ¤È RST ¥Ó¥Ã¥È¤¬ÀßÄꤵ¤ì¤Æ¤¤¤ë
-TCP ¥Ñ¥±¥Ã¥È¤Ë¤Î¤ß¥Þ¥Ã¥Á¤¹¤ë¡£
+SYN ビットが設定され ACK と RST ビットがクリアされている
+TCP パケットにのみマッチする。
+このようなパケットは TCP 接続の開始要求に使われる。
+例えば、あるインターフェースに入ってくるこのようなパケットをブロックすれば、
+内側への TCP 接続は禁止されるが、外側への TCP 接続には影響しない。
+これは \fB--tcp-flags SYN,RST,ACK SYN\fP と等しい。
+"--syn" の前に "!" フラグを置くと、
+SYN ビットがクリアされ ACK と RST ビットが設定されている
+TCP パケットにのみマッチする。
.TP
.BR "--tcp-option " "[!] \fInumber\fP"
-TCP ¥ª¥×¥·¥ç¥ó¤¬ÀßÄꤵ¤ì¤Æ¤¤¤ë¾ì¹ç¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+TCP オプションが設定されている場合にマッチする。
.TP
.BR "--mss " "\fIvalue\fP[:\fIvalue\fP]"
-»ØÄꤵ¤ì¤¿ MSS ÃÍ (¤ÎÈÏ°Ï) ¤ò»ý¤Ä TCP ¤Î
-SYN ¤Þ¤¿¤Ï SYN/ACK ¥Ñ¥±¥Ã¥È¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-MSS ¤ÏÀܳ¤ËÂФ¹¤ë¥Ñ¥±¥Ã¥È¤ÎºÇÂ祵¥¤¥º¤òÀ©¸æ¤¹¤ë¡£
+指定された MSS 値 (の範囲) を持つ TCP の
+SYN または SYN/ACK パケットにマッチする。
+MSS は接続に対するパケットの最大サイズを制御する。
.SS tos
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï IP ¥Ø¥Ã¥À¡¼¤Î 8 ¥Ó¥Ã¥È¤Î (¤Ä¤Þ¤ê¾å°Ì¥Ó¥Ã¥È¤ò´Þ¤à)
-Type of Service ¥Õ¥£¡¼¥ë¥É¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+このモジュールは IP ヘッダーの 8 ビットの (つまり上位ビットを含む)
+Type of Service フィールドにマッチする。
.TP
.BI "--tos " "tos"
-°ú¤¿ô¤Ï¡¢¥Þ¥Ã¥Á¤ò¹Ô¤¦É¸½àŪ¤Ê̾Á°¤Ç¤â¿ôÃͤǤâ¤è¤¤
-(̾Á°¤Î¥ê¥¹¥È¤ò¸«¤ë¤Ë¤Ï
+引き数は、マッチを行う標準的な名前でも数値でもよい
+(名前のリストを見るには
.nf
iptables -m tos -h
.fi
-¤ò»È¤¦¤³¤È)¡£
+を使うこと)。
.SS ttl
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ï IP ¥Ø¥Ã¥À¡¼¤Î time to live ¥Õ¥£¡¼¥ë¥É¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
+このモジュールは IP ヘッダーの time to live フィールドにマッチする。
.TP
.BI "--ttl " "ttl"
-»ØÄꤵ¤ì¤¿ TTL Ãͤ˥ޥåÁ¤¹¤ë¡£
+指定された TTL 値にマッチする。
.SS udp
-¤³¤ì¤é¤Î³ÈÄ¥¤Ï `--protocol udp' ¤¬»ØÄꤵ¤ì¤¿¾ì¹ç¤Ë¥í¡¼¥É¤µ¤ì¡¢
-°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤¬Ä󶡤µ¤ì¤ë:
+これらの拡張は `--protocol udp' が指定された場合にロードされ、
+以下のオプションが提供される:
.TP
.BR "--source-port " "[!] \fIport\fP[:\fIport\fP]"
-Á÷¿®¸µ¥Ý¡¼¥È¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈϰϤλØÄê¡£
-¾ÜºÙ¤Ï TCP ³ÈÄ¥¤Î
+送信元ポートまたはポート範囲の指定。
+詳細は TCP 拡張の
.B --source-port
-¥ª¥×¥·¥ç¥ó¤ÎÀâÌÀ¤ò»²¾È¤¹¤ë¤³¤È¡£
+オプションの説明を参照すること。
.TP
.BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]"
-Á÷¿®Àè¥Ý¡¼¥È¤Þ¤¿¤Ï¥Ý¡¼¥ÈÈϰϤλØÄê¡£
-¾ÜºÙ¤Ï TCP ³ÈÄ¥¤Î
+送信先ポートまたはポート範囲の指定。
+詳細は TCP 拡張の
.B --destination-port
-¥ª¥×¥·¥ç¥ó¤ÎÀâÌÀ¤ò»²¾È¤¹¤ë¤³¤È¡£
+オプションの説明を参照すること。
.SS unclean
-¤³¤Î¥â¥¸¥å¡¼¥ë¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬¤Ê¤¤¤¬¡¢
-¤ª¤«¤·¤¯Àµ¾ï¤Ç¤Ê¤¤¤è¤¦¤Ë¸«¤¨¤ë¥Ñ¥±¥Ã¥È¤Ë¥Þ¥Ã¥Á¤¹¤ë¡£
-¤³¤ì¤Ï¼Â¸³Åª¤Ê¤â¤Î¤È¤·¤Æ°·¤ï¤ì¤Æ¤¤¤ë¡£
-.SH ¥¿¡¼¥²¥Ã¥È¤Î³ÈÄ¥
-iptables ¤Ï³ÈÄ¥¥¿¡¼¥²¥Ã¥È¥â¥¸¥å¡¼¥ë¤ò»È¤¦¤³¤È¤¬¤Ç¤¤ë:
-°Ê²¼¤Î¤â¤Î¤¬¡¢É¸½àŪ¤Ê¥Ç¥£¥¹¥È¥ê¥Ó¥å¡¼¥·¥ç¥ó¤Ë´Þ¤Þ¤ì¤Æ¤¤¤ë¡£
+このモジュールにはオプションがないが、
+おかしく正常でないように見えるパケットにマッチする。
+これは実験的なものとして扱われている。
+.SH ターゲットの拡張
+iptables は拡張ターゲットモジュールを使うことができる:
+以下のものが、標準的なディストリビューションに含まれている。
.SS DNAT
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï
+このターゲットは
.B nat
-¥Æ¡¼¥Ö¥ë¤Î
+テーブルの
.BR PREROUTING ,
.B OUTPUT
-¥Á¥§¥¤¥ó¡¢¤³¤ì¤é¤Î¥Á¥§¥¤¥ó¤«¤é¸Æ¤Ó½Ð¤µ¤ì¤ë
-¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¥Ñ¥±¥Ã¥È¤ÎÁ÷¿®À襢¥É¥ì¥¹¤ò½¤Àµ¤¹¤ë
-(¤³¤ÎÀܳ¤Î°Ê¹ß¤Î¥Ñ¥±¥Ã¥È¤â½¤Àµ¤·¤Æʬ¤«¤é¤Ê¤¯ (mangle) ¤¹¤ë)¡£
-¤µ¤é¤Ë¡¢¥ë¡¼¥ë¤Ë¤è¤ë¥Á¥§¥Ã¥¯¤ò»ß¤á¤µ¤»¤ë¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬ 1 ¼ïÎढ¤ë:
+チェイン、これらのチェインから呼び出される
+ユーザー定義チェインのみで有効である。
+このターゲットはパケットの送信先アドレスを修正する
+(この接続の以降のパケットも修正して分からなく (mangle) する)。
+さらに、ルールによるチェックを止めさせる。
+このターゲットにはオプションが 1 種類ある:
.TP
.BR "--to-destination " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]"
-1 ¤Ä¤Î¿·¤·¤¤Á÷¿®Àè IP ¥¢¥É¥ì¥¹¡¢¤Þ¤¿¤Ï IP ¥¢¥É¥ì¥¹¤ÎÈϰϤ¬»ØÄê¤Ç¤¤ë¡£
-¥Ý¡¼¥È¤ÎÈϰϤò»ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë
-(¤³¤ì¤Ï¥ë¡¼¥ë¤Ç
+1 つの新しい送信先 IP アドレス、または IP アドレスの範囲が指定できる。
+ポートの範囲を指定することもできる
+(これはルールで
.B "-p tcp"
-¤Þ¤¿¤Ï
+または
.B "-p udp"
-¤ò»ØÄꤷ¤Æ¤¤¤ë¾ì¹ç¤Ë¤Î¤ß͸ú)¡£
-¥Ý¡¼¥È¤ÎÈϰϤ¬»ØÄꤵ¤ì¤Æ¤¤¤Ê¤¤¾ì¹ç¡¢Á÷¿®Àè¥Ý¡¼¥È¤ÏÊѹ¹¤µ¤ì¤Ê¤¤¡£
+を指定している場合にのみ有効)。
+ポートの範囲が指定されていない場合、送信先ポートは変更されない。
.RS
.PP
-Ê£¿ô¤Î --to-destination ¥ª¥×¥·¥ç¥ó¤ò»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-¥¢¥É¥ì¥¹¤ÎÈϰϤˤè¤Ã¤Æ¡¢
-¤â¤·¤¯¤ÏÊ£¿ô¤Î --to-destination ¥ª¥×¥·¥ç¥ó¤Ë¤è¤Ã¤Æ
-2 ¤Ä°Ê¾å¤ÎÁ÷¿®À襢¥É¥ì¥¹¤ò»ØÄꤷ¤¿¾ì¹ç¡¢
-¤½¤ì¤é¤Î¥¢¥É¥ì¥¹¤ò»È¤Ã¤¿Ã±½ã¤Ê¥é¥¦¥ó¥É¡¦¥í¥Ó¥ó
-(½ç¡¹¤Ë½Û´Ä¤µ¤»¤ë) ¤¬¤ª¤³¤Ê¤ï¤ì¤ë¡£
+複数の --to-destination オプションを指定することができる。
+アドレスの範囲によって、
+もしくは複数の --to-destination オプションによって
+2 つ以上の送信先アドレスを指定した場合、
+それらのアドレスを使った単純なラウンド・ロビン
+(順々に循環させる) がおこなわれる。
.RE
.SS DSCP
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¡¢IPv4 ¥Ñ¥±¥Ã¥È¤Î TOS ¥Ø¥Ã¥À¡¼¤Ë¤¢¤ë
-DSCP ¥Ó¥Ã¥È¤ÎÃͤνñ¤´¹¤¨¤ò²Äǽ¤Ë¤¹¤ë¡£
-¤³¤ì¤Ï¥Ñ¥±¥Ã¥È¤òÁàºî¤¹¤ë¤Î¤Ç¡¢mangle ¥Æ¡¼¥Ö¥ë¤Ç¤Î¤ß»ÈÍѤǤ¤ë¡£
+このターゲットは、IPv4 パケットの TOS ヘッダーにある
+DSCP ビットの値の書き換えを可能にする。
+これはパケットを操作するので、mangle テーブルでのみ使用できる。
.TP
.BI "--set-dscp " "value"
-DSCP ¥Õ¥£¡¼¥ë¥É¤Î¿ôÃͤòÀßÄꤹ¤ë (10 ¿Ê¤Þ¤¿¤Ï 16 ¿Ê)¡£
+DSCP フィールドの数値を設定する (10 進または 16 進)。
.TP
.BI "--set-dscp-class " "class"
-DSCP ¥Õ¥£¡¼¥ë¥É¤Î DiffServ ¥¯¥é¥¹¤òÀßÄꤹ¤ë¡£
+DSCP フィールドの DiffServ クラスを設定する。
.SS ECN
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï ECN ¥Ö¥é¥Ã¥¯¥Û¡¼¥ëÌäÂê¤Ø¤ÎÂнè¤ò²Äǽ¤Ë¤¹¤ë¡£
-mangle ¥Æ¡¼¥Ö¥ë¤Ç¤Î¤ß»ÈÍѤǤ¤ë¡£
+このターゲットは ECN ブラックホール問題への対処を可能にする。
+mangle テーブルでのみ使用できる。
.TP
.BI "--ecn-tcp-remove"
-TCP ¥Ø¥Ã¥À¡¼¤«¤éÁ´¤Æ¤Î ECN ¥Ó¥Ã¥È (ÌõÃí: ECE/CWR ¥Õ¥é¥°) ¤ò¼è¤ê½ü¤¯¡£
-ÅöÁ³¡¢
+TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。
+当然、
.B "-p tcp"
-¥ª¥×¥·¥ç¥ó¤È¤ÎÁȹç¤ï¤»¤Ç¤Î¤ß»ÈÍѤǤ¤ë¡£
+オプションとの組合わせでのみ使用できる。
.SS LOG
-¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤ò¥«¡¼¥Í¥ë¥í¥°¤ËµÏ¿¤¹¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬¥ë¡¼¥ë¤ËÂФ·¤ÆÀßÄꤵ¤ì¤ë¤È¡¢
-Linux ¥«¡¼¥Í¥ë¤Ï¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤Ë¤Ä¤¤¤Æ¤Î
-(ÂçÉôʬ¤Î IP ¥Ø¥Ã¥À¡¼¥Õ¥£¡¼¥ë¥É¤Î¤è¤¦¤Ê) ²¿¤é¤«¤Î¾ðÊó¤ò
-¥«¡¼¥Í¥ë¥í¥°¤Ëɽ¼¨¤¹¤ë
-(¥«¡¼¥Í¥ë¥í¥°¤Ï
+マッチしたパケットをカーネルログに記録する。
+このオプションがルールに対して設定されると、
+Linux カーネルはマッチしたパケットについての
+(大部分の IP ヘッダーフィールドのような) 何らかの情報を
+カーネルログに表示する
+(カーネルログは
.I dmesg
-¤Þ¤¿¤Ï
+または
.IR syslogd (8)
-¤Ç¸«¤ë¤³¤È¤¬¤Ç¤¤ë)¡£
-¤³¤ì¤Ï "Èó½ªÎ»¥¿¡¼¥²¥Ã¥È" ¤Ç¤¢¤ë¡£
-¤¹¤Ê¤ï¤Á¡¢¥ë¡¼¥ë¤Î¸¡Æ¤¤Ï¡¢¼¡¤Î¥ë¡¼¥ë¤Ø¤È·Ñ³¤µ¤ì¤ë¡£
-¤è¤Ã¤Æ¡¢µñÈݤ¹¤ë¥Ñ¥±¥Ã¥È¤ò¥í¥°µÏ¿¤·¤¿¤±¤ì¤Ð¡¢
-Ʊ¤¸¥Þ¥Ã¥Á¥ó¥°È½ÃÇ´ð½à¤ò»ý¤Ä 2 ¤Ä¤Î¥ë¡¼¥ë¤ò»ÈÍѤ·¡¢
-ºÇ½é¤Î¥ë¡¼¥ë¤Ç LOG ¥¿¡¼¥²¥Ã¥È¤ò¡¢
-¼¡¤Î¥ë¡¼¥ë¤Ç DROP (¤Þ¤¿¤Ï REJECT) ¥¿¡¼¥²¥Ã¥È¤ò»ØÄꤹ¤ë¡£
+で見ることができる)。
+これは "非終了ターゲット" である。
+すなわち、ルールの検討は、次のルールへと継続される。
+よって、拒否するパケットをログ記録したければ、
+同じマッチング判断基準を持つ 2 つのルールを使用し、
+最初のルールで LOG ターゲットを、
+次のルールで DROP (または REJECT) ターゲットを指定する。
.TP
.BI "--log-level " "level"
-¥í¥°µÏ¿¤Î¥ì¥Ù¥ë (¿ôÃͤƻØÄꤹ¤ë¤«¡¢
-(ÌõÃð: ̾Á°¤Ç»ØÄꤹ¤ë¾ì¹ç¤Ï) \fIsyslog.conf\fP(5) ¤ò»²¾È¤¹¤ë¤³¤È)¡£
+ログ記録のレベル (数値て指定するか、
+(訳註: 名前で指定する場合は) \fIsyslog.conf\fP(5) を参照すること)。
.TP
.BI "--log-prefix " "prefix"
-»ØÄꤷ¤¿¥×¥ì¥Õ¥£¥Ã¥¯¥¹¤ò¥í¥°¥á¥Ã¥»¡¼¥¸¤ÎÁ°¤ËÉÕ¤±¤ë¡£
-¥×¥ì¥Õ¥£¥Ã¥¯¥¹¤Ï 29 ʸ»ú¤Þ¤Ç¤ÎŤµ¤Ç¡¢
-¥í¥°¤ÎÃæ¤Ç¥á¥Ã¥»¡¼¥¸¤ò¶èÊ̤¹¤ë¤Î¤ËÌòΩ¤Ä¡£
+指定したプレフィックスをログメッセージの前に付ける。
+プレフィックスは 29 文字までの長さで、
+ログの中でメッセージを区別するのに役立つ。
.TP
.B --log-tcp-sequence
-TCP ¥·¡¼¥±¥ó¥¹ÈÖ¹æ¤ò¥í¥°¤ËµÏ¿¤¹¤ë¡£
-¥í¥°¤¬¥æ¡¼¥¶¡¼¤«¤éÆɤá¤ë¾ì¹ç¡¢¥»¥¥å¥ê¥Æ¥£¾å¤Î´í¸±¤¬¤¢¤ë¡£
+TCP シーケンス番号をログに記録する。
+ログがユーザーから読める場合、セキュリティ上の危険がある。
.TP
.B --log-tcp-options
-TCP ¥Ñ¥±¥Ã¥È¥Ø¥Ã¥À¡¼¤Î¥ª¥×¥·¥ç¥ó¤ò¥í¥°¤ËµÏ¿¤¹¤ë¡£
+TCP パケットヘッダーのオプションをログに記録する。
.TP
.B --log-ip-options
-IP ¥Ñ¥±¥Ã¥È¥Ø¥Ã¥À¡¼¤Î¥ª¥×¥·¥ç¥ó¤ò¥í¥°¤ËµÏ¿¤¹¤ë¡£
+IP パケットヘッダーのオプションをログに記録する。
.SS MARK
-¥Ñ¥±¥Ã¥È¤Ë´ØÏ¢¤Å¤±¤é¤ì¤¿ netfilter ¤Î mark ÃͤòÀßÄꤹ¤ë¡£
+パケットに関連づけられた netfilter の mark 値を設定する。
.B mangle
-¥Æ¡¼¥Ö¥ë¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
-Î㤨¤Ð¡¢iproute2 ¤ÈÁȤ߹ç¤ï¤»¤Æ»È¤¦¤³¤È¤¬¤Ç¤¤ë¡£
+テーブルのみで有効である。
+例えば、iproute2 と組み合わせて使うことができる。
.TP
.BI "--set-mark " "mark"
.SS MASQUERADE
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï
+このターゲットは
.B nat
-¥Æ¡¼¥Ö¥ë¤Î
+テーブルの
.B POSTROUTING
-¥Á¥§¥¤¥ó¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
-ưŪ³ä¤êÅö¤Æ IP (¥À¥¤¥ä¥ë¥¢¥Ã¥×) Àܳ¤Î¾ì¹ç¤Ë¤Î¤ß»È¤¦¤Ù¤¤Ç¤¢¤ë¡£
-¸ÇÄê IP ¥¢¥É¥ì¥¹¤Ê¤é¤Ð¡¢SNAT ¥¿¡¼¥²¥Ã¥È¤ò»È¤¦¤Ù¤¤Ç¤¢¤ë¡£
-¥Þ¥¹¥«¥ì¡¼¥Ç¥£¥ó¥°¤Ï¡¢¥Ñ¥±¥Ã¥È¤¬Á÷¿®¤µ¤ì¤ë¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤Î
-IP ¥¢¥É¥ì¥¹¤Ø¤Î¥Þ¥Ã¥Ô¥ó¥°¤ò»ØÄꤹ¤ë¤Î¤ÈƱ¤¸¤Ç¤¢¤ë¤¬¡¢
-¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤¬Ää»ß¤·¤¿¾ì¹ç¤ËÀܳ¤ò\fI˺¤ì¤ë\fR¤È¤¤¤¦¸ú²Ì¤¬¤¢¤ë¡£
-¼¡¤Î¥À¥¤¥ä¥ë¥¢¥Ã¥×¤Ç¤ÏƱ¤¸¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¥¢¥É¥ì¥¹¤Ë¤Ê¤ë²ÄǽÀ¤¬Ä㤤
-(¤½¤Î¤¿¤á¡¢Á°²ó³ÎΩ¤µ¤ì¤¿Àܳ¤Ï¼º¤ï¤ì¤ë) ¾ì¹ç¡¢
-¤³¤ÎÆ°ºî¤ÏÀµ¤·¤¤¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬ 1 ¤Ä¤¢¤ë¡£
+チェインのみで有効である。
+動的割り当て IP (ダイヤルアップ) 接続の場合にのみ使うべきである。
+固定 IP アドレスならば、SNAT ターゲットを使うべきである。
+マスカレーディングは、パケットが送信されるインターフェースの
+IP アドレスへのマッピングを指定するのと同じであるが、
+インターフェースが停止した場合に接続を\fI忘れる\fRという効果がある。
+次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い
+(そのため、前回確立された接続は失われる) 場合、
+この動作は正しい。
+このターゲットにはオプションが 1 つある。
.TP
.BR "--to-ports " "\fIport\fP[-\fIport\fP]"
-¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢»ÈÍѤ¹¤ëÁ÷¿®¸µ¥Ý¡¼¥È¤ÎÈϰϤò»ØÄꤷ¡¢
-¥Ç¥Õ¥©¥ë¥È¤Î
+このオプションは、使用する送信元ポートの範囲を指定し、
+デフォルトの
.B SNAT
-Á÷¿®¸µ¥Ý¡¼¥È¤ÎÁªÂòÊýË¡ (¾åµ) ¤è¤ê¤âÍ¥À褵¤ì¤ë¡£
-¥ë¡¼¥ë¤¬
+送信元ポートの選択方法 (上記) よりも優先される。
+ルールが
.B "-p tcp"
-¤Þ¤¿¤Ï
+または
.B "-p udp"
-¤ò»ØÄꤷ¤Æ¤¤¤ë¾ì¹ç¤Ë¤Î¤ß͸ú¤Ç¤¢¤ë¡£
+を指定している場合にのみ有効である。
.SS MIRROR
-¼Â¸³Åª¤Ê¥Ç¥â¥ó¥¹¥È¥ì¡¼¥·¥ç¥óÍѤΥ¿¡¼¥²¥Ã¥È¤Ç¤¢¤ê¡¢
-IP ¥Ø¥Ã¥À¡¼¤ÎÁ÷¿®¸µ¤ÈÁ÷¿®Àè¥Õ¥£¡¼¥ë¥É¤òÆþ¤ì´¹¤¨¡¢
-¥Ñ¥±¥Ã¥È¤òºÆÁ÷¿®¤¹¤ë¤â¤Î¤Ç¤¢¤ë¡£
-¤³¤ì¤Ï
+実験的なデモンストレーション用のターゲットであり、
+IP ヘッダーの送信元と送信先フィールドを入れ換え、
+パケットを再送信するものである。
+これは
.BR INPUT ,
.BR FORWARD ,
.B PREROUTING
-¥Á¥§¥¤¥ó¤È¡¢¤³¤ì¤é¤Î¥Á¥§¥¤¥ó¤«¤é¸Æ¤Ó½Ð¤µ¤ì¤ë
-¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤À¤±¤Ç͸ú¤Ç¤¢¤ë¡£
-¥ë¡¼¥×Åù¤ÎÌäÂê¤ò²óÈò¤¹¤ë¤¿¤á¡¢³°Éô¤ËÁ÷¤é¤ì¤ë¥Ñ¥±¥Ã¥È¤Ï
-¤¤¤«¤Ê¤ë¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¥ê¥ó¥°¥Á¥§¥¤¥ó¡¦ÀܳÄÉÀס¦NAT ¤«¤é¤â
-´Æ»ë\fB¤µ¤ì¤Ê¤¤\fR¡£
+チェインと、これらのチェインから呼び出される
+ユーザー定義チェインだけで有効である。
+ループ等の問題を回避するため、外部に送られるパケットは
+いかなるパケットフィルタリングチェイン・接続追跡・NAT からも
+監視\fBされない\fR。
.SS REDIRECT
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¡¢
+このターゲットは、
.B nat
-¥Æ¡¼¥Ö¥ëÆâ¤Î
+テーブル内の
.B PREROUTING
-¥Á¥§¥¤¥óµÚ¤Ó
+チェイン及び
.B OUTPUT
-¥Á¥§¥¤¥ó¡¢¤½¤·¤Æ¤³¤ì¤é¥Á¥§¥¤¥ó¤«¤é¸Æ¤Ó½Ð¤µ¤ì¤ë
-¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤Ç¤Î¤ß͸ú¤Ç¤¢¤ë¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¥Ñ¥±¥Ã¥È¤ÎÁ÷¿®Àè IP ¥¢¥É¥ì¥¹¤ò
-¥Þ¥·¥ó¼«¿È¤Î IP ¥¢¥É¥ì¥¹¤ËÊÑ´¹¤¹¤ë¡£
-(¥í¡¼¥«¥ë¤ÇÀ¸À®¤µ¤ì¤¿¥Ñ¥±¥Ã¥È¤Ï¡¢¥¢¥É¥ì¥¹ 127.0.0.1 ¤Ë¥Þ¥Ã¥×¤µ¤ì¤ë)¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬ 1 ¤Ä¤¢¤ë:
+チェイン、そしてこれらチェインから呼び出される
+ユーザー定義チェインでのみ有効である。
+このターゲットはパケットの送信先 IP アドレスを
+マシン自身の IP アドレスに変換する。
+(ローカルで生成されたパケットは、アドレス 127.0.0.1 にマップされる)。
+このターゲットにはオプションが 1 つある:
.TP
.BR "--to-ports " "\fIport\fP[-\fIport\fP]"
-¤³¤Î¥ª¥×¥·¥ç¥ó¤Ï»ÈÍѤµ¤ì¤ëÁ÷¿®Àè¥Ý¡¼¥È¡¦¥Ý¡¼¥ÈÈÏ°Ï¡¦Ê£¿ô¥Ý¡¼¥È¤ò»ØÄꤹ¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤¬»ØÄꤵ¤ì¤Ê¤¤¾ì¹ç¡¢Á÷¿®Àè¥Ý¡¼¥È¤ÏÊѹ¹¤µ¤ì¤Ê¤¤¡£
-¥ë¡¼¥ë¤¬
+このオプションは使用される送信先ポート・ポート範囲・複数ポートを指定する。
+このオプションが指定されない場合、送信先ポートは変更されない。
+ルールが
.B "-p tcp"
-¤Þ¤¿¤Ï
+または
.B "-p udp"
-¤ò»ØÄꤷ¤Æ¤¤¤ë¾ì¹ç¤Ë¤Î¤ß͸ú¤Ç¤¢¤ë¡£
+を指定している場合にのみ有効である。
.SS REJECT
-¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤Î±þÅú¤È¤·¤Æ¥¨¥é¡¼¥Ñ¥±¥Ã¥È¤òÁ÷¿®¤¹¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
-¥¨¥é¡¼¥Ñ¥±¥Ã¥È¤òÁ÷¤é¤Ê¤±¤ì¤Ð¡¢
+マッチしたパケットの応答としてエラーパケットを送信するために使われる。
+エラーパケットを送らなければ、
.B DROP
-¤ÈƱ¤¸¤Ç¤¢¤ê¡¢TARGET ¤ò½ªÎ»¤·¡¢¥ë¡¼¥ë¤Î¸¡Æ¤¤ò½ªÎ»¤¹¤ë¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¡¢
+と同じであり、TARGET を終了し、ルールの検討を終了する。
+このターゲットは、
.BR INPUT ,
.BR FORWARD ,
.B OUTPUT
-¥Á¥§¥¤¥ó¤È¡¢¤³¤ì¤é¤Î¥Á¥§¥¤¥ó¤«¤é¸Æ¤Ð¤ì¤ë
-¥æ¡¼¥¶¡¼ÄêµÁ¥Á¥§¥¤¥ó¤À¤±¤Ç͸ú¤Ç¤¢¤ë¡£
-°Ê²¼¤Î¥ª¥×¥·¥ç¥ó¤Ï¡¢ÊÖ¤µ¤ì¤ë¥¨¥é¡¼¥Ñ¥±¥Ã¥È¤ÎÆÃÀ¤òÀ©¸æ¤¹¤ë¡£
+チェインと、これらのチェインから呼ばれる
+ユーザー定義チェインだけで有効である。
+以下のオプションは、返されるエラーパケットの特性を制御する。
.TP
.BI "--reject-with " "type"
-type ¤È¤·¤Æ»ØÄê²Äǽ¤Ê¤â¤Î¤Ï
+type として指定可能なものは
.nf
.B " icmp-net-unreachable"
.B " icmp-host-unreachable"
.B " icmp-host-prohibited or"
.B " icmp-admin-prohibited (*)"
.fi
-¤Ç¤¢¤ê¡¢Å¬ÀÚ¤Ê ICMP ¥¨¥é¡¼¥á¥Ã¥»¡¼¥¸¤òÊÖ¤¹
+であり、適切な ICMP エラーメッセージを返す
.RB ( port-unreachable
-¤¬¥Ç¥Õ¥©¥ë¥È¤Ç¤¢¤ë)¡£
-TCP ¥×¥í¥È¥³¥ë¤Ë¤Î¤ß¥Þ¥Ã¥Á¤¹¤ë¥ë¡¼¥ë¤ËÂФ·¤Æ¡¢¥ª¥×¥·¥ç¥ó
+がデフォルトである)。
+TCP プロトコルにのみマッチするルールに対して、オプション
.B tcp-reset
-¤ò»È¤¦¤³¤È¤¬¤Ç¤¤ë¡£
-¤³¤Î¥ª¥×¥·¥ç¥ó¤ò»È¤¦¤È¡¢TCP RST ¥Ñ¥±¥Ã¥È¤¬Á÷¤êÊÖ¤µ¤ì¤ë¡£
-¼ç¤È¤·¤Æ
+を使うことができる。
+このオプションを使うと、TCP RST パケットが送り返される。
+主として
.I ident
-(113/tcp) ¤Ë¤è¤ëõºº¤òÁ˻ߤ¹¤ë¤Î¤ËÌòΩ¤Ä¡£
+(113/tcp) による探査を阻止するのに役立つ。
.I ident
-¤Ë¤è¤ëõºº¤Ï¡¢²õ¤ì¤Æ¤¤¤ë (¥á¡¼¥ë¤ò¼õ¤±¼è¤é¤Ê¤¤) ¥á¡¼¥ë¥Û¥¹¥È¤Ë
-¥á¡¼¥ë¤¬Á÷¤é¤ì¤ë¾ì¹ç¤ËÉÑÈˤ˵¯¤³¤ë¡£
+による探査は、壊れている (メールを受け取らない) メールホストに
+メールが送られる場合に頻繁に起こる。
.RS
.PP
-(*) icmp-admin-prohibited ¤ò¥µ¥Ý¡¼¥È¤·¤Ê¤¤¥«¡¼¥Í¥ë¤Ç¡¢
-icmp-admin-prohibited ¤ò»ÈÍѤ¹¤ë¤È¡¢
-REJECT ¤Ç¤Ï¤Ê¤¯Ã±¤Ê¤ë DROP ¤Ë¤Ê¤ë¡£
+(*) icmp-admin-prohibited をサポートしないカーネルで、
+icmp-admin-prohibited を使用すると、
+REJECT ではなく単なる DROP になる。
.SS SNAT
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï
+このターゲットは
.B nat
-¥Æ¡¼¥Ö¥ë¤Î
+テーブルの
.B POSTROUTING
-¥Á¥§¥¤¥ó¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¥Ñ¥±¥Ã¥È¤ÎÁ÷¿®¸µ¥¢¥É¥ì¥¹¤ò½¤Àµ¤µ¤»¤ë
-(¤³¤ÎÀܳ¤Î°Ê¹ß¤Î¥Ñ¥±¥Ã¥È¤â½¤Àµ¤·¤Æʬ¤«¤é¤Ê¤¯ (mangle) ¤¹¤ë)¡£
-¤µ¤é¤Ë¡¢¥ë¡¼¥ë¤¬É¾²Á¤òÃæ»ß¤¹¤ë¤è¤¦¤Ë»Ø¼¨¤¹¤ë¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ë¤Ï¥ª¥×¥·¥ç¥ó¤¬ 1 ¼ïÎढ¤ë:
+チェインのみで有効である。
+このターゲットはパケットの送信元アドレスを修正させる
+(この接続の以降のパケットも修正して分からなく (mangle) する)。
+さらに、ルールが評価を中止するように指示する。
+このターゲットにはオプションが 1 種類ある:
.TP
.BR "--to-source " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]"
-1 ¤Ä¤Î¿·¤·¤¤Á÷¿®¸µ IP ¥¢¥É¥ì¥¹¡¢¤Þ¤¿¤Ï IP ¥¢¥É¥ì¥¹¤ÎÈϰϤ¬»ØÄê¤Ç¤¤ë¡£
-¥Ý¡¼¥È¤ÎÈϰϤò»ØÄꤹ¤ë¤³¤È¤â¤Ç¤¤ë
-(¥ë¡¼¥ë¤¬
+1 つの新しい送信元 IP アドレス、または IP アドレスの範囲が指定できる。
+ポートの範囲を指定することもできる
+(ルールが
.B "-p tcp"
-¤Þ¤¿¤Ï
+または
.B "-p udp"
-¤ò»ØÄꤷ¤Æ¤¤¤ë¾ì¹ç¤Ë¤Î¤ß͸ú)¡£
-¥Ý¡¼¥È¤ÎÈϰϤ¬»ØÄꤵ¤ì¤Æ¤¤¤Ê¤¤¾ì¹ç¡¢
-512 ̤Ëþ¤ÎÁ÷¿®¸µ¥Ý¡¼¥È¤Ï¡¢Â¾¤Î 512 ̤Ëþ¤Î¥Ý¡¼¥È¤Ë¥Þ¥Ã¥Ô¥ó¥°¤µ¤ì¤ë¡£
-512 ¡Á 1023 ¤Þ¤Ç¤Î¥Ý¡¼¥È¤Ï¡¢1024 ̤Ëþ¤Î¥Ý¡¼¥È¤Ë¥Þ¥Ã¥Ô¥ó¥°¤µ¤ì¤ë¡£
-¤½¤ì°Ê³°¤Î¥Ý¡¼¥È¤Ï¡¢1024 °Ê¾å¤Î¥Ý¡¼¥È¤Ë¥Þ¥Ã¥Ô¥ó¥°¤µ¤ì¤ë¡£
-²Äǽ¤Ç¤¢¤ì¤Ð¡¢¥Ý¡¼¥È¤ÎÊÑ´¹¤Ïµ¯¤³¤é¤Ê¤¤¡£
+を指定している場合にのみ有効)。
+ポートの範囲が指定されていない場合、
+512 未満の送信元ポートは、他の 512 未満のポートにマッピングされる。
+512 〜 1023 までのポートは、1024 未満のポートにマッピングされる。
+それ以外のポートは、1024 以上のポートにマッピングされる。
+可能であれば、ポートの変換は起こらない。
.RS
.PP
-Ê£¿ô¤Î --to-source ¥ª¥×¥·¥ç¥ó¤ò»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-¥¢¥É¥ì¥¹¤ÎÈϰϤˤè¤Ã¤Æ¡¢
-¤â¤·¤¯¤ÏÊ£¿ô¤Î --to-source ¥ª¥×¥·¥ç¥ó¤Ë¤è¤Ã¤Æ
-2 ¤Ä°Ê¾å¤ÎÁ÷¿®¸µ¥¢¥É¥ì¥¹¤ò»ØÄꤷ¤¿¾ì¹ç¡¢
-¤½¤ì¤é¤Î¥¢¥É¥ì¥¹¤ò»È¤Ã¤¿Ã±½ã¤Ê¥é¥¦¥ó¥É¡¦¥í¥Ó¥ó
-(½ç¡¹¤Ë½Û´Ä¤µ¤»¤ë) ¤¬¤ª¤³¤Ê¤ï¤ì¤ë¡£
+複数の --to-source オプションを指定することができる。
+アドレスの範囲によって、
+もしくは複数の --to-source オプションによって
+2 つ以上の送信元アドレスを指定した場合、
+それらのアドレスを使った単純なラウンド・ロビン
+(順々に循環させる) がおこなわれる。
.SS TCPMSS
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤òÍѤ¤¤ë¤È¡¢TCP ¤Î SYN ¥Ñ¥±¥Ã¥È¤Î MSS Ãͤò½ñ¤´¹¤¨¡¢
-¤½¤Î¥³¥Í¥¯¥·¥ç¥ó¤ÎºÇÂ祵¥¤¥º
-(Ä̾ï¤Ï¡¢Á÷¿®¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤Î MTU ¤«¤é 40 °ú¤¤¤¿ÃÍ)
-¤òÀ©¸æ¤Ç¤¤ë¡£
-¤â¤Á¤í¤ó
+このターゲットを用いると、TCP の SYN パケットの MSS 値を書き換え、
+ã\81\9dã\81®ã\82³ã\83\8dã\82¯ã\82·ã\83§ã\83³ã\81®æ\9c\80大ã\82µã\82¤ã\82º
+(通常は、送信インターフェースの MTU から 40 引いた値)
+を制御できる。
+もちろん
.B "-p tcp"
-¤ÈÁȤ߹ç¤ï¤»¤Æ¤·¤«»È¤¨¤Ê¤¤¡£
+と組み合わせてしか使えない。
.PP
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤ÏÈȺáŪ¤ËƬ¤Î¤¤¤«¤ì¤¿ ISP ¤ä
-ICMP Fragmentation Needed ¥Ñ¥±¥Ã¥È¤ò¥Ö¥í¥Ã¥¯¤·¤Æ¤·¤Þ¤¦¥µ¡¼¥Ð¡¼¤ò
-¾è¤ê±Û¤¨¤ë¤¿¤á¤Ë»ÈÍѤ¹¤ë¡£
-Linux ¥Õ¥¡¥¤¥¢¥¦¥©¡¼¥ë/¥ë¡¼¥¿¡¼¤Ç¤Ï²¿¤âÌäÂ꤬¤Ê¤¤¤Î¤Ë¡¢
-¤½¤³¤Ë¤Ö¤é²¼¤¬¤ë¥Þ¥·¥ó¤Ç¤Ï°Ê²¼¤Î¤è¤¦¤ËÂ礤ʥѥ±¥Ã¥È¤ò
-¤ä¤ê¤È¤ê¤Ç¤¤Ê¤¤¤È¤¤¤¦¤Î¤¬¡¢¤³¤ÎÌäÂê¤ÎÃû¸õ¤Ç¤¢¤ë¡£
+このターゲットは犯罪的に頭のいかれた ISP や
+ICMP Fragmentation Needed パケットをブロックしてしまうサーバーを
+乗り越えるために使用する。
+Linux ファイアウォール/ルーターでは何も問題がないのに、
+そこにぶら下がるマシンでは以下のように大きなパケットを
+やりとりできないというのが、この問題の兆候である。
.PD 0
.RS 0.1i
.TP 0.3i
1)
-¥¦¥§¥Ö¡¦¥Ö¥é¥¦¥¶¤ÇÀܳ¤¬¡¢²¿¤Î¥Ç¡¼¥¿¤â¼õ¤±¼è¤é¤º¤Ë¥Ï¥ó¥°¤¹¤ë
+ウェブ・ブラウザで接続が、何のデータも受け取らずにハングする
.TP
2)
-û¤¤¥á¡¼¥ë¤ÏÌäÂê¤Ê¤¤¤¬¡¢Ä¹¤¤¥á¡¼¥ë¤¬¥Ï¥ó¥°¤¹¤ë
+短いメールは問題ないが、長いメールがハングする
.TP
3)
-ssh ¤ÏÌäÂê¤Ê¤¤¤¬¡¢scp ¤ÏºÇ½é¤Î¥Ï¥ó¥É¥·¥§¡¼¥¯¸å¤Ë¥Ï¥ó¥°¤¹¤ë
+ssh は問題ないが、scp は最初のハンドシェーク後にハングする
.RE
.PD
-²óÈòÊýË¡: ¤³¤Î¥ª¥×¥·¥ç¥ó¤ò͸ú¤Ë¤·¡¢°Ê²¼¤Î¤è¤¦¤Ê¥ë¡¼¥ë¤ò
-¥Õ¥¡¥¤¥¢¥¦¥©¡¼¥ë¤ÎÀßÄê¤ËÄɲ乤롣
+回避方法: このオプションを有効にし、以下のようなルールを
+ファイアウォールの設定に追加する。
.nf
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \\
-j TCPMSS --clamp-mss-to-pmtu
.fi
.TP
.BI "--set-mss " "value"
-MSS ¥ª¥×¥·¥ç¥ó¤ÎÃͤò»ØÄꤷ¤¿ÃͤËÀßÄꤹ¤ë¡£
+MSS オプションの値を指定した値に設定する。
.TP
.B "--clamp-mss-to-pmtu"
-¼«Æ°Åª¤Ë¡¢MSS Ãͤò (path_MTU - 40) ¤Ë¶¯À©¤¹¤ë¡£
+自動的に、MSS 値を (path_MTU - 40) に強制する。
.RS
.PP
-¤³¤ì¤é¤Î¥ª¥×¥·¥ç¥ó¤Ï¤É¤Á¤é¤« 1 ¤Ä¤·¤«»ØÄê¤Ç¤¤Ê¤¤¡£
+これらのオプションはどちらか 1 つしか指定できない。
.RE
.SS TOS
-IP ¥Ø¥Ã¥À¡¼¤Î 8 ¥Ó¥Ã¥È¤Î Type of Service ¥Õ¥£¡¼¥ë¥É¤òÀßÄꤹ¤ë¤¿¤á¤Ë»È¤ï¤ì¤ë¡£
+IP ヘッダーの 8 ビットの Type of Service フィールドを設定するために使われる。
.B mangle
-¥Æ¡¼¥Ö¥ë¤Î¤ß¤Ç͸ú¤Ç¤¢¤ë¡£
+テーブルのみで有効である。
.TP
.BI "--set-tos " "tos"
-TOS ¤òÈÖ¹æ¤Ç»ØÄꤹ¤ë¤³¤È¤¬¤Ç¤¤ë¡£
-¤Þ¤¿¡¢
+TOS を番号で指定することができる。
+また、
.nf
iptables -j TOS -h
.fi
-¤ò¼Â¹Ô¤·¤ÆÆÀ¤é¤ì¤ë¡¢»ÈÍѲÄǽ¤Ê TOS ̾¤Î°ìÍ÷¤Ë¤¢¤ë TOS ̾¤â»ØÄê¤Ç¤¤ë¡£
+を実行して得られる、使用可能な TOS 名の一覧にある TOS 名も指定できる。
.SS ULOG
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤Ï¡¢¥Þ¥Ã¥Á¤·¤¿¥Ñ¥±¥Ã¥È¤ò
-¥æ¡¼¥¶¡¼¶õ´Ö¤Ç¥í¥°µÏ¿¤¹¤ëµ¡Ç½¤òÄ󶡤¹¤ë¡£
-¤³¤Î¥¿¡¼¥²¥Ã¥È¤¬¥ë¡¼¥ë¤ËÀßÄꤵ¤ì¤ë¤È¡¢
-Linux ¥«¡¼¥Í¥ë¤Ï¡¢¤½¤Î¥Ñ¥±¥Ã¥È¤ò
+このターゲットは、マッチしたパケットを
+ユーザー空間でログ記録する機能を提供する。
+このターゲットがルールに設定されると、
+Linux カーネルは、そのパケットを
.I netlink
-¥½¥±¥Ã¥È¤òÍѤ¤¤Æ¥Þ¥ë¥Á¥¥ã¥¹¥È¤¹¤ë¡£
-¤½¤·¤Æ¡¢1 ¤Ä°Ê¾å¤Î¥æ¡¼¥¶¡¼¶õ´Ö¥×¥í¥»¥¹¤¬
-¤¤¤í¤¤¤í¤Ê¥Þ¥ë¥Á¥¥ã¥¹¥È¥°¥ë¡¼¥×¤ËÅÐÏ¿¤ò¤ª¤³¤Ê¤¤¡¢
-¥Ñ¥±¥Ã¥È¤ò¼õ¿®¤¹¤ë¡£
-LOG ¤ÈƱÍÍ¡¢¤³¤ì¤Ï "Èó½ªÎ»¥¿¡¼¥²¥Ã¥È" ¤Ç¤¢¤ê¡¢
-¥ë¡¼¥ë¤Î¸¡Æ¤¤Ï¼¡¤Î¥ë¡¼¥ë¤Ø¤È·Ñ³¤µ¤ì¤ë¡£
+ソケットを用いてマルチキャストする。
+そして、1 つ以上のユーザー空間プロセスが
+いろいろなマルチキャストグループに登録をおこない、
+パケットを受信する。
+LOG と同様、これは "非終了ターゲット" であり、
+ルールの検討は次のルールへと継続される。
.TP
.BI "--ulog-nlgroup " "nlgroup"
-¥Ñ¥±¥Ã¥È¤òÁ÷¿®¤¹¤ë netlink ¥°¥ë¡¼¥× (1-32) ¤ò»ØÄꤹ¤ë¡£
-¥Ç¥Õ¥©¥ë¥È¤ÎÃÍ¤Ï 1 ¤Ç¤¢¤ë¡£
+パケットを送信する netlink グループ (1-32) を指定する。
+デフォルトの値は 1 である。
.TP
.BI "--ulog-prefix " "prefix"
-»ØÄꤷ¤¿¥×¥ì¥Õ¥£¥Ã¥¯¥¹¤ò¥í¥°¥á¥Ã¥»¡¼¥¸¤ÎÁ°¤ËÉÕ¤±¤ë¡£
-32 ʸ»ú¤Þ¤Ç¤Î»ØÄê¤Ç¤¤ë¡£
-¥í¥°¤ÎÃæ¤Ç¥á¥Ã¥»¡¼¥¸¤ò¶èÊ̤¹¤ë¤Î¤ËÊØÍø¤Ç¤¢¤ë¡£
+指定したプレフィックスをログメッセージの前に付ける。
+32 文字までの指定できる。
+ログの中でメッセージを区別するのに便利である。
.TP
.BI "--ulog-cprange " "size"
-¥æ¡¼¥¶¡¼¶õ´Ö¤Ë¥³¥Ô¡¼¤¹¤ë¥Ñ¥±¥Ã¥È¤Î¥Ð¥¤¥È¿ô¡£
-Ãͤ¬ 0 ¤Î¾ì¹ç¡¢¥µ¥¤¥º¤Ë´Ø·¸¤Ê¤¯Á´¥Ñ¥±¥Ã¥È¤ò¥³¥Ô¡¼¤¹¤ë¡£
-¥Ç¥Õ¥©¥ë¥È¤Ï 0 ¤Ç¤¢¤ë¡£
+ユーザー空間にコピーするパケットのバイト数。
+値が 0 の場合、サイズに関係なく全パケットをコピーする。
+デフォルトは 0 である。
.TP
.BI "--ulog-qthreshold " "size"
-¥«¡¼¥Í¥ëÆâÉô¤Î¥¥å¡¼¤ËÆþ¤ì¤é¤ì¤ë¥Ñ¥±¥Ã¥È¤Î¿ô¡£
-Î㤨¤Ð¡¢¤³¤ÎÃͤò 10 ¤Ë¤·¤¿¾ì¹ç¡¢
-¥«¡¼¥Í¥ëÆâÉô¤Ç 10 ¸Ä¤Î¥Ñ¥±¥Ã¥È¤ò¤Þ¤È¤á¡¢
-1 ¤Ä¤Î netlink ¥Þ¥ë¥Á¥Ñ¡¼¥È¥á¥Ã¥»¡¼¥¸¤È¤·¤Æ¥æ¡¼¥¶¡¼¶õ´Ö¤ËÁ÷¤ë¡£
-(²áµî¤Î¤â¤Î¤È¤Î¸ß´¹À¤Î¤¿¤á) ¥Ç¥Õ¥©¥ë¥È¤Ï 1 ¤Ç¤¢¤ë¡£
-.SH ÊÖ¤êÃÍ
-¤¤¤í¤¤¤í¤Ê¥¨¥é¡¼¥á¥Ã¥»¡¼¥¸¤¬É¸½à¥¨¥é¡¼¤Ëɽ¼¨¤µ¤ì¤ë¡£
-Àµ¤·¤¯µ¡Ç½¤·¤¿¾ì¹ç¡¢½ªÎ»¥³¡¼¥É¤Ï 0 ¤Ç¤¢¤ë¡£
-ÉÔÀµ¤Ê¥³¥Þ¥ó¥É¥é¥¤¥ó¥Ñ¥é¥á¡¼¥¿¤Ë¤è¤ê¥¨¥é¡¼¤¬È¯À¸¤·¤¿¾ì¹ç¤Ï¡¢
-½ªÎ»¥³¡¼¥É 2 ¤¬ÊÖ¤µ¤ì¤ë¡£
-¤½¤Î¾¤Î¥¨¥é¡¼¤Î¾ì¹ç¤Ï¡¢½ªÎ»¥³¡¼¥É 1 ¤¬ÊÖ¤µ¤ì¤ë¡£
-.SH ¥Ð¥°
-¥Ð¥°? ¥Ð¥°¤Ã¤Æ²¿? ;-)
-¤¨¡¼¤È¡Ä¡¢sparc64 ¤Ç¤Ï¥«¥¦¥ó¥¿¡¼Ãͤ¬¿®Íê¤Ç¤¤Ê¤¤¡£
-.SH IPCHAINS ¤È¤Î¸ß´¹À
+カーネル内部のキューに入れられるパケットの数。
+例えば、この値を 10 にした場合、
+カーネル内部で 10 個のパケットをまとめ、
+1 つの netlink マルチパートメッセージとしてユーザー空間に送る。
+(過去のものとの互換性のため) デフォルトは 1 である。
+.SH 返り値
+いろいろなエラーメッセージが標準エラーに表示される。
+正しく機能した場合、終了コードは 0 である。
+不正なコマンドラインパラメータによりエラーが発生した場合は、
+終了コード 2 が返される。
+その他のエラーの場合は、終了コード 1 が返される。
+.SH ã\83\90ã\82°
+バグ? バグって何? ;-)
+えーと…、sparc64 ではカウンター値が信頼できない。
+.SH IPCHAINS との互換性
.B iptables
-¤Ï¡¢Rusty Russell ¤Î ipchains ¤ÈÈó¾ï¤Ë¤è¤¯»÷¤Æ¤¤¤ë¡£
-Â礤ʰ㤤¤Ï¡¢¥Á¥§¥¤¥ó
+は、Rusty Russell の ipchains と非常によく似ている。
+大きな違いは、チェイン
.B INPUT
-¤È
+と
.B OUTPUT
-¤¬¡¢¤½¤ì¤¾¤ì¥í¡¼¥«¥ë¥Û¥¹¥È¤ËÆþ¤Ã¤Æ¤¯¤ë¥Ñ¥±¥Ã¥È¤È¡¢
-¥í¡¼¥«¥ë¥Û¥¹¥È¤«¤é½Ð¤µ¤ì¤ë¥Ñ¥±¥Ã¥È¤Î¤ß¤·¤«Ä´¤Ù¤Ê¤¤¤È¤¤¤¦ÅÀ¤Ç¤¢¤ë¡£
-¤è¤Ã¤Æ¡¢(INPUT ¤È OUTPUT ¤ÎξÊý¤Î¥Á¥§¥¤¥ó¤òµ¯Æ°¤¹¤ë
-¥ë¡¼¥×¥Ð¥Ã¥¯¥È¥é¥Õ¥£¥Ã¥¯¤ò½ü¤¯)
-Á´¤Æ¤Î¥Ñ¥±¥Ã¥È¤Ï 3 ¤Ä¤¢¤ë¥Á¥§¥¤¥ó¤Î¤¦¤Á 1 ¤·¤«Ä̤é¤Ê¤¤¡£
-°ÊÁ°¤Ï (ipchains ¤Ç¤Ï)¡¢
-¥Õ¥©¥ï¡¼¥É¤µ¤ì¤ë¥Ñ¥±¥Ã¥È¤Ï 3 ¤Ä¤Î¥Á¥§¥¤¥óÁ´¤Æ¤òÄ̤äƤ¤¤¿¡£
+が、それぞれローカルホストに入ってくるパケットと、
+ローカルホストから出されるパケットのみしか調べないという点である。
+よって、(INPUT と OUTPUT の両方のチェインを起動する
+ループバックトラフィックを除く)
+全てのパケットは 3 つあるチェインのうち 1 しか通らない。
+以前は (ipchains では)、
+フォワードされるパケットは 3 つのチェイン全てを通っていた。
.PP
-¤½¤Î¾¤ÎÂ礤ʰ㤤¤Ï¡¢
+その他の大きな違いは、
.B -i
-¤ÇÆþÎÏ¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¡¢
+で入力インターフェース、
.B -o
-¤Ç½ÐÎÏ¥¤¥ó¥¿¡¼¥Õ¥§¡¼¥¹¤ò»²¾È¤¹¤ë¤³¤È¡¢
-¤½¤·¤Æ¤È¤â¤Ë
+で出力インターフェースを参照すること、
+そしてともに
.B FORWARD
-¥Á¥§¥¤¥ó¤ËÆþ¤ë¥Ñ¥±¥Ã¥È¤ËÂФ·¤Æ»ØÄê²Äǽ¤ÊÅÀ¤Ç¤¢¤ë¡£
+チェインに入るパケットに対して指定可能な点である。
.PP
-NAT ¤Î¤¤¤í¤¤¤í¤Ê·Á¼°¤¬Ê¬³ä¤µ¤ì¤¿¡£
-¥ª¥×¥·¥ç¥ó¤Î³ÈÄ¥¥â¥¸¥å¡¼¥ë¤È¤È¤â¤Ë
-¥Ç¥Õ¥©¥ë¥È¤Î¡Ö¥Õ¥£¥ë¥¿¡×¥Æ¡¼¥Ö¥ë¤òÍѤ¤¤¿¾ì¹ç¡¢
+NAT のいろいろな形式が分割された。
+オプションの拡張モジュールとともに
+デフォルトの「フィルタ」テーブルを用いた場合、
.B iptables
-¤Ï½ã¿è¤Ê¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¤È¤Ê¤ë¡£
-¤³¤ì¤Ï¡¢°ÊÁ°¤ß¤é¤ì¤¿ IP ¥Þ¥¹¥«¥ì¡¼¥Ç¥£¥ó¥°¤È¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¥ê¥ó¥°¤Î
-Áȹ礻¤Ë¤è¤ëº®Íð¤ò´Êά²½¤¹¤ë¡£
-¤è¤Ã¤Æ¡¢¥ª¥×¥·¥ç¥ó
+は純粋なパケットフィルタとなる。
+これは、以前みられた IP マスカレーディングとパケットフィルタリングの
+組合せによる混乱を簡略化する。
+よって、オプション
.nf
-j MASQ
-M -S
-M -L
.fi
-¤ÏÊ̤Τâ¤Î¤È¤·¤Æ°·¤ï¤ì¤ë¡£
-iptables ¤Ç¤Ï¡¢¤½¤Î¾¤Ë¤â¤¤¤¯¤Ä¤«¤ÎÊѹ¹¤¬¤¢¤ë¡£
-.SH ´ØÏ¢¹àÌÜ
+は別のものとして扱われる。
+iptables では、その他にもいくつかの変更がある。
+.SH 関連項目
.BR iptables-save (8),
.BR iptables-restore (8),
.BR ip6tables (8),
.BR ip6tables-save (8),
.BR ip6tables-restore (8).
.P
-¥Ñ¥±¥Ã¥È¥Õ¥£¥ë¥¿¥ê¥ó¥°¤Ë¤Ä¤¤¤Æ¤Î¾ÜºÙ¤Ê iptables ¤Î»ÈÍÑË¡¤ò
-ÀâÌÀ¤·¤Æ¤¤¤ë packet-filtering-HOWTO¡£
-NAT ¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë NAT-HOWTO¡£
-ɸ½àŪ¤ÊÇÛÉۤˤϴޤޤì¤Ê¤¤³ÈÄ¥¤Î¾ÜºÙ¤ò
-ÀâÌÀ¤·¤Æ¤¤¤ë netfilter-extensions-HOWTO¡£
-ÆâÉô¹½Â¤¤Ë¤Ä¤¤¤Æ¾ÜºÙ¤ËÀâÌÀ¤·¤Æ¤¤¤ë netfilter-hacking-HOWTO¡£
+パケットフィルタリングについての詳細な iptables の使用法を
+説明している packet-filtering-HOWTO。
+NAT について詳細に説明している NAT-HOWTO。
+標準的な配布には含まれない拡張の詳細を
+説明している netfilter-extensions-HOWTO。
+内部構造について詳細に説明している netfilter-hacking-HOWTO。
.PP
.UR http://www.netfilter.org/
.B http://www.netfilter.org/
.UE
-¤ò»²¾È¤Î¤³¤È¡£
-.SH Ãø¼Ô
-Rusty Russell ¤Ï¡¢½é´ü¤ÎÃʳ¬¤Ç Michael Neuling ¤ËÁêÃ̤·¤Æ iptables ¤ò½ñ¤¤¤¿¡£
+を参照のこと。
+.SH 著者
+Rusty Russell は、初期の段階で Michael Neuling に相談して iptables を書いた。
.PP
-Marc Boucher ¤Ï Rusty ¤Ë iptables ¤Î°ìÈÌŪ¤Ê¥Ñ¥±¥Ã¥ÈÁªÂò¤Î¹Í¤¨Êý¤ò´«¤á¤Æ¡¢
-ipnatctl ¤ò»ß¤á¤µ¤»¤¿¡£
-¤½¤·¤Æ¡¢mangle ¥Æ¡¼¥Ö¥ë¡¦½êͼԥޥåÁ¥ó¥°¡¦
-mark µ¡Ç½¤ò½ñ¤¡¢¤¤¤¿¤ë¤È¤³¤í¤Ç»È¤ï¤ì¤Æ¤¤¤ëÁÇÀ²¤é¤·¤¤¥³¡¼¥É¤ò½ñ¤¤¤¿¡£
+Marc Boucher は Rusty に iptables の一般的なパケット選択の考え方を勧めて、
+ipnatctl を止めさせた。
+そして、mangle テーブル・所有者マッチング・
+mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。
.PP
-James Morris ¤¬ TOS ¥¿¡¼¥²¥Ã¥È¤È tos ¥Þ¥Ã¥Á¥ó¥°¤ò½ñ¤¤¤¿¡£
+James Morris が TOS ターゲットと tos マッチングを書いた。
.PP
-Jozsef Kadlecsik ¤¬ REJECT ¥¿¡¼¥²¥Ã¥È¤ò½ñ¤¤¤¿¡£
+Jozsef Kadlecsik が REJECT ターゲットを書いた。
.PP
-Harald Welte ¤¬ ULOG ¥¿¡¼¥²¥Ã¥È¤È¡¢
-TTL, DSCP, ECN ¤Î¥Þ¥Ã¥Á¡¦¥¿¡¼¥²¥Ã¥È¤ò½ñ¤¤¤¿¡£
+Harald Welte が ULOG ターゲットと、
+TTL, DSCP, ECN のマッチ・ターゲットを書いた。
.PP
-Netfilter ¥³¥¢¥Á¡¼¥à¤Ï¡¢Marc Boucher, Martin Josefsson, Jozsef Kadlecsik,
-James Morris, Harald Welte, Rusty Russell ¤Ç¤¢¤ë¡£
+Netfilter コアチームは、Marc Boucher, Martin Josefsson, Jozsef Kadlecsik,
+James Morris, Harald Welte, Rusty Russell である。
.PP
-man ¥Ú¡¼¥¸¤Ï Herve Eychenne <rv@wallfire.org> ¤¬½ñ¤¤¤¿¡£
+man ページは Herve Eychenne <rv@wallfire.org> が書いた。
.\" .. and did I mention that we are incredibly cool people?
.\" .. sexy, too ..
.\" .. witty, charming, powerful ..
.\" .. and most of all, modest ..
-.\" .. ¤½¤·¤Æ¡¢ËÍÅù¤¬¤È¤Æ¤â¥¯¡¼¥ë¤ÊÅÛ¤é¤À¤È¸À¤Ã¤Æ¤ª¤¤¤Æ¤â¤¤¤¤¤«¤Ê¡©
-.\" .. ¥»¥¯¥·¡¼¤Ç ..
-.\" .. ¤È¤Æ¤â¥¦¥£¥Ã¥È¤ËÉÙ¤ó¤Ç¤¤¤Æ¡¢¥Á¥ã¡¼¥ß¥ó¥°¤Ç¡¢¥Ñ¥ï¥Õ¥ë¤Ç ..
-.\" .. ¤½¤·¤Æ¡¢¤ß¤ó¤Ê¸¬µõ¤Ê¤ó¤À ..
+.\" .. そして、僕等がとてもクールな奴らだと言っておいてもいいかな?
+.\" .. セクシーで ..
+.\" .. とてもウィットに富んでいて、チャーミングで、パワフルで ..
+.\" .. そして、みんな謙虚なんだ ..
OSDN Git Service
