+++ /dev/null
-po4a/*/*.pot
+++ /dev/null
-[main]
-host = https://www.transifex.com
-
-[iptables.iptables_8]
-file_filter = po4a/man8/iptables.8.<lang>.po
-source_file = po4a/man8/iptables.8.pot
-source_lang = en
-type = PO
-
-[iptables.iptables-save_8]
-file_filter = po4a/man8/iptables-save.8.<lang>.po
-source_file = po4a/man8/iptables-save.8.pot
-source_lang = en
-type = PO
-
-[iptables.iptables-restore_8]
-file_filter = po4a/man8/iptables-restore.8.<lang>.po
-source_file = po4a/man8/iptables-restore.8.pot
-source_lang = en
-type = PO
-
-[iptables.iptables-apply_8]
-file_filter = po4a/man8/iptables-apply.8.<lang>.po
-source_file = po4a/man8/iptables-apply.8.pot
-source_lang = en
-type = PO
-
-[iptables.iptables-extensions_8]
-file_filter = po4a/man8/iptables-extensions.8.<lang>.po
-source_file = po4a/man8/iptables-extensions.8.pot
-source_lang = en
-type = PO
-
-[iptables.iptables-xml_1]
-file_filter = po4a/man1/iptables-xml.1.<lang>.po
-source_file = po4a/man1/iptables-xml.1.pot
-source_lang = en
-type = PO
+++ /dev/null
-Fri Mar 13 03:04:28 2009 Akihiro MOTOKI <amotoki@dd.iij4u.or.jp>
-
- * draft/man8/iptables.8, release/man8/iptables.8:
- [JM:12854] --dscp オプションの誤記を修正しています。
-
-Wed Jan 18 23:32:54 2006 Akihiro MOTOKI <amotoki@dd.iij4u.or.jp>
-
- * draft/man8/iptables.8, release/man8/iptables.8:
- typo 修正 [JM:12074]
-
-Fri Mar 12 03:18:33 2004 Yuichi SATO <ysato444@yahoo.co.jp>
-
- * iptables.8, ip6tables.8 : 1.2.9 対応版をリリース。
- * translation_list : 上記を反映。
-
-Mon Mar 8 01:13:07 2004 SEKINE Tatsuo <tsekine@sdri.co.jp>
-
- * release/man8/iptables.8: fix typoe ([JM:10809])
-
-Sun Feb 22 06:03:03 JST 2004 JM ML to CVS Gateway
-
- * translation_list: [JM:10810]
- * draft/man8/iptables.8: [JM:10810]
-
-Sun Feb 8 18:02:42 JST 2004 JM ML to CVS Gateway
-
- * translation_list: [JM:10781]
- * draft/man8/ip6tables.8: [JM:10781]
-
-Sun Feb 8 13:54:04 2004 Yuichi SATO <ysato444@yahoo.co.jp>
-
- * original/ : 1.2.8 → 1.2.9 に更新。
- 更新されたのは iptables.8, ip6tables.8 のみである。
- * translation_list: 上記を反映。
-
-Sat Aug 30 01:31:11 JST 2003 JM ML to CVS Gateway
-
- * translation_list: [LOCAL]
- * draft/man8/iptables.8: [LOCAL]
- * release/man8/iptables.8: [LOCAL]
-
-Sat Aug 9 03:17:20 JST 2003 SEKINE Tatsuo <tsekine@sdri.co.jp>
-
- * draft/man8/iptables.8: [JM:10295]の中野さんの指摘を反映
-
-Sat Jun 21 00:05:10 JST 2003 JM ML to CVS Gateway
-
- * translation_list: [JM:10294]
- * draft/man8/iptables.8: [JM:10294]
- * release/man8/iptables.8: [JM:10294]
-
-Sat Jun 7 18:02:14 JST 2003 JM ML to CVS Gateway
-
- * translation_list: [JM:10263]
- * draft/man3/libipq.3: [JM:10263]
-
-Mon Jun 2 00:04:32 JST 2003 JM ML to CVS Gateway
-
- * translation_list: [JM:10252]
- * draft/man8/iptables.8: [JM:10252]
-
-Tue May 13 02:48:49 2003 Yuichi SATO <ysato444@yahoo.co.jp>
-
- * ip6tables-save.8, ip6tables-restore.8: v1.2.8 対応版をリリース。
- * translation_list: 上記を反映。
-
-Sun May 11 12:04:36 JST 2003 JM ML to CVS Gateway
-
- * translation_list: [JM:10223]
-
-Sat May 10 00:03:58 JST 2003 JM ML to CVS Gateway
-
- * translation_list: [JM:10222]
-
-Thu May 1 22:32:21 2003 Yuichi SATO <ysato444@yahoo.co.jp>
-
- * draft/man8/iptables-restore.8: [JM:10212] で
- ip6tables-restore.8 を名前を間違えて投稿し、
- 上書きされたために修正。
- * draft/man8/ip6tables-restore.8: [JM:10212] を登録。
- * translation_list: 上記に伴う修正。
-
-Thu May 1 18:06:54 JST 2003 JM ML to CVS Gateway
-
- * translation_list: [JM:10213]
- * draft/man8/ip6tables-save.8: [JM:10213]
-
-Thu May 1 18:06:54 JST 2003 JM ML to CVS Gateway
-
- * translation_list: [JM:10212]
- * draft/man8/iptables-restore.8: [JM:10212]
-
-Thu May 1 15:22:24 2003 Yuichi SATO <ysato444@yahoo.co.jp>
-
- * original/: 1.2.4 -> 1.2.8 に更新。
- * iptables-restore.8, iptables-save.8: 変更点が
- 少なかったので draft, release を直接修正。
- * translation_list: 上記を反映。
-
-Sat Feb 15 00:57:24 2003 Yuichi SATO <ysato444@yahoo.co.jp>
-
- * iptables.8 : [JM:09885] の菊地さんの御指摘と、
- [JM:09886] の松田さんの翻訳案を反映。
-
-Fri Dec 14 17:23:00 2001 Yuichi SATO <ysato@h4.dion.ne.jp>
-
- * ip6tables.8: ver 1.2.4 対応版をリリース。
- * translation_list : 上記を反映。
-
-Sat Dec 1 12:02:39 JST 2001 JM ML to CVS Gateway
-
- * translation_list: [JM:08747]
- * draft/man8/ip6tables.8: [JM:08747]
-
-Sat Dec 1 05:17:03 2001 Yuichi SATO <ysato@h4.dion.ne.jp>
-
- * original/* : 1.2.3 → 1.2.4 に更新。ip6tables.8 が追加された。
- * draft/man8/iptables.8 : 原文のスペルミス修正を反映。
- * translation_list : 上記を反映した。
-
-Wed Sep 12 06:31:27 2001 Yuichi SATO <ysato@h4.dion.ne.jp>
-
- * original/* : 1.2.2 → 1.2.3 に更新
- * {draft,release}/man8/iptables.8: [JM:08442] の御指摘を反映。
- ver.1.2.3 への更新に伴い、一部を修正してリリース。
- * translation_list: 上記を反映した。
-
-Sun Jul 29 01:47:38 2001 Yuichi SATO <ysato@h4.dion.ne.jp>
-
- * {draft,release}/man8/iptables.8: ver. 1.2.2 の翻訳をリリース。
- * translation_list: 上記を反映した。
-
-Sat Jul 21 18:01:43 JST 2001 JM ML to CVS Gateway
-
- * translation_list: [JM:08277]
- * draft/man8/iptables.8: [JM:08277]
-
-Wed Jul 18 12:02:46 JST 2001 JM ML to CVS Gateway
-
- * translation_list: [JM:08275]
-
-Sun Jul 1 17:55:18 2001 Yuichi SATO <ysato@h4.dion.ne.jp>
-
- * original/man3/* : 1.2.2 からインポートした。
- * translation_list : 上記を反映した。
-
-Tue May 15 20:22:53 2001 Yuichi SATO <ysato@h4.dion.ne.jp>
-
- * iptables-restore.8, iptables-save.8: ローカルでリリース。
- * translation_list : 上記を反映した。
-
-Thu May 10 02:31:47 2001 Yuichi SATO <ysato@h4.dion.ne.jp>
-
- * draft/man8/iptables-save.8: 手動で登録。
- * draft/man8/iptables-restore.8: 手動で登録。
- * translation_list: 修正と上記の反映。
-
-Mon May 7 00:07:45 2001 SEKINE Tatsuo <tsekine@isoternet.org>
-
- * translation_list, original: import
-
-
-
+++ /dev/null
-THRESH = 100
-EXTFLAGS =
-PO4AFLAGS += -k $(THRESH) $(EXTFLAGS)
-
-MASTER_CMD = $(wildcard original/man[^23]/*.[1-8])
-MASTER_LIB = $(wildcard original/man[23]/*.[1-8])
-MASTER_ROFFS = $(MASTER_CMD) $(MASTER_LIB)
-TRANS_ROFFS = $(patsubst original/%,draft/%,$(MASTER_ROFFS))
-POFILES = $(wildcard po4a/*/*.ja.po)
-POTFILES = $(wildcard po4a/*/*.pot)
-MSGMERGE_OPTS = --no-wrap --no-location
-
-WORK_DIR = .
-
-all: translate
-cmd: translate-cmd
-lib: translate-lib
-
-translate: translate-cmd translate-lib
-translate-cmd: $(patsubst %,_translate-%,$(notdir $(MASTER_CMD)))
-translate-lib: $(patsubst %,_translate-%,$(notdir $(MASTER_LIB)))
-
-_translate-%:
- @set -e; for target in $*; do \
- echo $$target; \
- p=$$(echo $* | sed -e 's|.*\.\([1-8]\)|man\1/\0|'); \
- pofile=po4a/$$p.ja.po; \
- potfile=po4a/$$p.pot; \
- master=original/$$p; \
- trans=draft/$$p; \
- addendum=po4a/add_ja/copyright/$(notdir $*).txt; \
- mkdir -p $$(dirname $$master); \
- if sed -e '1,3!d' $$master | grep -q '^\.so '; then \
- echo "Skip link file $$master"; \
- else \
- po4a-translate $(PO4AFLAGS) -f man -p $$pofile -l $$trans -m $$master \
- --addendum $$addendum; \
- fi; \
- done
-
-updatepo: $(patsubst %,_updatepo-%,$(notdir $(MASTER_ROFFS)))
-
-_updatepo-%:
- @set -e; for target in $*; do \
- p=$$(echo $* | sed -e 's|.*\.\([1-8]\)|man\1/\0|'); \
- pofile=po4a/$$p.ja.po; \
- potfile=po4a/$$p.pot; \
- master=original/$$p; \
- if sed -e '1,3!d' $$master | grep -q '^\.so '; then \
- echo "Skip link file $$master"; \
- elif [ -f $$pofile ]; then \
- echo -n "po4a-updatepo $$pofile <- $$master"; \
- po4a-updatepo -f man --previous --msgmerge-opt='$(MSGMERGE_OPTS)' \
- -p $$pofile -m $$master; \
- else \
- echo -n "po4a-gettextize $$pofile <- $$master"; \
- mkdir -p $$(dirname $$pofile); \
- po4a-gettextize -f man -p $$pofile -m $$master; \
- cp $$pofile $$potfile; \
- msgmerge $(MSGMERGE_OPTS) -o $$pofile $$pofile $$potfile; \
- $(RM) $$potfile; \
- fi; \
- done
-
-stat:
- @for po in $(POFILES); do \
- echo -n $$(basename $$po)": "; \
- msgfmt --statistics -o /dev/null $$po; \
- done
-
-pot: $(patsubst %,_pot-%,$(notdir $(MASTER_ROFFS)))
-
-_pot-%:
- @set -e; for target in $*; do \
- p=$$(echo $* | sed -e 's|.*\.\([1-8]\)|man\1/\0|'); \
- pofile=po4a/$$p.ja.po; \
- potfile=po4a/$$p.pot; \
- master=original/$$p; \
- if sed -e '1,3!d' $$master | grep -q '^\.so '; then \
- echo "Skip link file $$master"; \
- else \
- echo "po4a-gettextize $$potfile <- $$master"; \
- po4a-gettextize -f man -p $$potfile -m $$master; \
- fi; \
- done
-
-pot-clean:
- $(RM) -v $(POTFILES)
--- /dev/null
+The content has been merged into the main JM repository [1]
+(See JM commit 45aa0ba23ec889be33a94a1090661a0ce51d0870).
+This repository is always kept for history.
+
+[1] https://osdn.net/projects/linuxjm/scm/git/jm/
+++ /dev/null
-= Notes when updating the original =
-
-Netfilter project
-http://www.netfilter.org/projects/iptables/index.html
-http://www.netfilter.org/projects/iptables/downloads.html
-
-tar xvf iptables-1.4.18.tar.bz2
-cd iptables-1.4.18/
-./configure
-make
-
-ls -1 **/*.[1-8]
-ls -1 **/*.[1-8].in
-
-@ iptables top directory
-
-find original -type f | xargs rm
-
-@ source directory
-
-cp **/*.1 ../../original/man1/
-cp **/*.3 ../../original/man3/
-cp **/*.8 ../../original/man8/
-
-@ iptables top directory
-
-grep -r @PACKAGE_VERSION@ original/
-sed -i -e 's/@PACKAGE_AND_VERSION@/1.4.21/' original/man8/iptables.8
-patch -p3 < patch.original
-
-git add -u
-git add original
-
-git status . | ../../admin/git2upd > upd.txt
-sed -i -e 's|0000/00/00|2013/03/03|' upd.txt
-../../admin/upd_tl.perl translation_list upd.txt 1.4.18
+++ /dev/null
-.\"*******************************************************************
-.\"
-.\" This file was generated with po4a. Translate the source file.
-.\"
-.\"*******************************************************************
-.\"
-.\" Japanese Version Copyright (c) 2013 Akihiro MOTOKI
-.\" all rights reserved.
-.\" Translated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
-.TH IPTABLES\-XML 1 "" "iptables 1.4.21" "iptables 1.4.21"
-.\"
-.\" Man page written by Sam Liddicott <azez@ufomechanic.net>
-.\" It is based on the iptables-save man page.
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH 名前
-iptables\-xml \(em iptables\-xml 形式から XML 形式へ変換する
-.SH 書式
-\fBiptables\-xml\fP [\fB\-c\fP] [\fB\-v\fP]
-.SH 説明
-.PP
-\fBiptables\-xml\fP を使うと、iptables\-save の出力をより扱いやすい XML 形式に変換し、標準出力に出力することができる。
-ファイルに書き出すには、シェルで提供されている I/O リダイレクションを使うこと。
-.TP
-\fB\-c\fP, \fB\-\-combine\fP
-combine consecutive rules with the same matches but different
-targets. iptables does not currently support more than one target per match,
-so this simulates that by collecting the targets from consecutive iptables
-rules into one action tag, but only when the rule matches are
-identical. Terminating actions like RETURN, DROP, ACCEPT and QUEUE are not
-combined with subsequent targets.
-.TP
-\fB\-v\fP, \fB\-\-verbose\fP
-XML の生成元となった iptables の行を XML コメントとして出力する。
-
-.PP
-iptables\-xml does a mechanistic conversion to a very expressive xml format;
-the only semantic considerations are for \-g and \-j targets in order to
-discriminate between <call> <goto> and
-<nane\-of\-target> as it helps xml processing scripts if they can tell
-the difference between a target like SNAT and another chain.
-
-出力例を以下に示す。
-
-<iptables\-rules>
- <table name="mangle">
- <chain name="PREROUTING" policy="ACCEPT" packet\-count="63436"
-byte\-count="7137573">
- <rule>
- <conditions>
- <match>
- <p>tcp</p>
- </match>
- <tcp>
- <sport>8443</sport>
- </tcp>
- </conditions>
- <actions>
- <call>
- <check_ip/>
- </call>
- <ACCEPT/>
- </actions>
- </rule>
- </chain>
- </table>
-</iptables\-rules>
-
-.PP
-XML から iptables\-save への変換は、以下のように iptables.xslt スクリプトと xsltproc
-を使って行うことができる。 libxsltproc などを使ったカスタムプログラムで行うことができる。
-
-xsltproc iptables.xslt my\-iptables.xml | iptables\-restore
-
-.SH バグ
-iptables\-1.3.7 リリースの時点では知られていない。
-.SH 作者
-Sam Liddicott <azez@ufomechanic.net>
-.SH 関連項目
-\fBiptables\-save\fP(8), \fBiptables\-restore\fP(8), \fBiptables\fP(8)
+++ /dev/null
-.\" Title: iptables-apply
-.\" Author: Martin F. Krafft
-.\" Date: Jun 04, 2006
-.\"
-.\"*******************************************************************
-.\"
-.\" This file was generated with po4a. Translate the source file.
-.\"
-.\"*******************************************************************
-.\"
-.\" Japanese Version Copyright (c) 2013 Akihiro MOTOKI
-.\" all rights reserved.
-.\" Translated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
-.TH IPTABLES\-APPLY 8 "" "iptables 1.4.21" "iptables 1.4.21"
-.\" disable hyphenation
-.nh
-.SH 名前
-iptables\-apply \- リモートからの iptables のより安全な更新方法
-.SH 書式
-\fBiptables\-apply\fP [\-\fBhV\fP] [\fB\-t\fP \fItimeout\fP] \fIruleset\-file\fP
-.SH 説明
-.PP
-iptables\-apply は、新しいルールセット (iptables\-save の出力や iptables\-restore
-の入力と同じフォーマット) の iptables
-への適用を試みてから、ユーザーにこの変更を適用してよいかを問い合わせる。新しいルールセットが既存の接続を切断する場合、ユーザーは許可の返事を行うことができない。この場合、このスクリプトはタイムアウト時間が経過した後で直前のルールにロールバックを行う。タイムアウトは
-\fB\-t\fP で設定できる。
-.PP
-\fBip6tables\-apply\fP として呼び出された場合には、ip6tables\-save/\-restore が代わりに利用される。
-.SH オプション
-.TP
-\fB\-t\fP \fIseconds\fP, \fB\-\-timeout\fP \fIseconds\fP
-タイムアウト時間を設定する。この時間が経過した後、このスクリプトは以前のルールセットにロールバックを行う。
-.TP
-\fB\-h\fP, \fB\-\-help\fP
-使用方法を表示する。
-.TP
-\fB\-V\fP, \fB\-\-version\fP
-バージョン情報を表示する。
-.SH 関連項目
-.PP
-\fBiptables\-restore\fP(8), \fBiptables\-save\fP(8), \fBiptables\fP(8).
-.SH 著作権
-.PP
-iptables\-apply の著作権は Martin F. Krafft が持っている。
-.PP
-このマニュアルページは Martin F. Krafft <madduck@madduck.net> が書いた。
-.PP
-この文書のコピー、配布、修正は Artistic License 2.0 の下で行うことができる。
+++ /dev/null
-.\"*******************************************************************
-.\"
-.\" This file was generated with po4a. Translate the source file.
-.\"
-.\"*******************************************************************
-.\"
-.\" Japanese Version Copyright (c) 2013 Akihiro MOTOKI
-.\" all rights reserved.
-.\" Translated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
-.TH iptables\-extensions 8 "" "iptables 1.4.21" "iptables 1.4.21"
-.SH 名前
-iptables\-extensions \(em 標準の iptables に含まれる拡張モジュールのリスト
-.SH 書式
-\fBip6tables\fP [\fB\-m\fP \fIname\fP [\fImodule\-options\fP...]] [\fB\-j\fP \fItarget\-name\fP
-[\fItarget\-options\fP...]
-.PP
-\fBiptables\fP [\fB\-m\fP \fIname\fP [\fImodule\-options\fP...]] [\fB\-j\fP \fItarget\-name\fP
-[\fItarget\-options\fP...]
-.SH マッチングの拡張
-iptables は拡張されたパケットマッチングモジュールを使うことができる。 使用するモジュールは \fB\-m\fP か \fB\-\-match\fP
-の後ろにモジュール名に続けて指定する。 モジュール名の後ろには、 モジュールに応じて他のいろいろなコマンドラインオプションを指定することができる。
-複数の拡張マッチングモジュールを一行で指定することができる。 モジュールの指定より後ろで \fB\-h\fP か \fB\-\-help\fP を指定すると、
-モジュール固有のヘルプが表示される。 拡張マッチングモジュールはルールで指定された順序で評価される。
-.PP
-.\" @MATCH@
-\fB\-p\fP か \fB\-\-protocol\fP が指定され、 かつ未知のオプションだけが指定されていた場合にのみ、 iptables
-はプロトコルと同じ名前のマッチモジュールをロードし、 そのオプションを使えるようにしようとする。
-.SS addrtype
-このモジュールは、 アドレス種別 (\fBaddress type\fP) に基づいてパケットマッチングを行う。
-アドレス種別はカーネルのネットワークスタック内で使われており、 アドレスはいくつかグループに分類される。 厳密なグループの定義は個々のレイヤ 3
-プロトコルに依存する。
-.PP
-以下のアドレスタイプが利用できる。
-.TP
-\fBUNSPEC\fP
-アドレスを指定しない (つまりアドレス 0.0.0.0)
-.TP
-\fBUNICAST\fP
-ユニキャストアドレス
-.TP
-\fBLOCAL\fP
-ローカルアドレス
-.TP
-\fBBROADCAST\fP
-ブロードキャストアドレス
-.TP
-\fBANYCAST\fP
-エニーキャストアドレス
-.TP
-\fBMULTICAST\fP
-マルチキャストアドレス
-.TP
-\fBBLACKHOLE\fP
-ブラックホールアドレス
-.TP
-\fBUNREACHABLE\fP
-到達できないアドレス
-.TP
-\fBPROHIBIT\fP
-禁止されたアドレス
-.TP
-\fBTHROW\fP
-要修正
-.TP
-\fBNAT\fP
-要修正
-.TP
-\fBXRESOLVE\fP
-.TP
-[\fB!\fP] \fB\-\-src\-type\fP \fItype\fP
-送信元アドレスが指定された種類の場合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-dst\-type\fP \fItype\fP
-宛先アドレスが指定された種類の場合にマッチする。
-.TP
-\fB\-\-limit\-iface\-in\fP
-アドレス種別のチェックをそのパケットが受信されたインターフェースに限定する。 このオプションは \fBPREROUTING\fP, \fBINPUT\fP,
-\fBFORWARD\fP チェインでのみ利用できる。 \fB\-\-limit\-iface\-out\fP オプションと同時に指定することはできない。
-.TP
-\fB\-\-limit\-iface\-out\fP
-アドレス種別のチェックをそのパケットが出力されるインターフェースに限定する。 このオプションは \fBPOSTROUTING\fP, \fBOUTPUT\fP,
-\fBFORWARD\fP チェインでのみ利用できる。 \fB\-\-limit\-iface\-in\fP オプションと同時に指定することはできない。
-.SS "ah (IPv6 のみ)"
-このモジュールは IPsec パケットの認証ヘッダーのパラメータにマッチする。
-.TP
-[\fB!\fP] \fB\-\-ahspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
-SPI にマッチする。
-.TP
-[\fB!\fP] \fB\-\-ahlen\fP \fIlength\fP
-このヘッダーの全体の長さ (8進数)。
-.TP
-\fB\-\-ahres\fP
-予約フィールドが 0 で埋められている場合にマッチする。
-.SS "ah (IPv4 の場合)"
-このモジュールは IPsec パケットの認証ヘッダー (AH) の SPI 値にマッチする。
-.TP
-[\fB!\fP] \fB\-\-ahspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
-.SS bpf
-Linux Socket Filter を使ってマッチを行う。 BPF プログラムを 10 進数形式で指定する。 これは
-\fBnfbpf_compile\fP ユーティリティにより生成されるフォーマットである。
-.TP
-\fB\-\-bytecode\fP \fIcode\fP
-BPF バイトコードフォーマットを渡す (フォーマットについては下記の例で説明)。
-.PP
-コードのフォーマットは tcpdump の \-ddd コマンドの出力に似ている。 最初に命令数が入った行が 1 行あり、 1 行 1 命令がこれに続く。
-命令行は 'u16 u8 u8 u32' のパターンで 10 進数で指定する。 各フィールドは、命令、 true 時のジャンプオフセット、 false
-時のジャンプオフセット、 汎用で様々な用途に使用するフィールド 'K' である。 コメントはサポートされていない。
-.PP
-例えば 'ip proto 6' にマッチするパケットのみを読み込むには、以下を挿入すればよい (コムと末尾のホワイトスペースは含めずに)。
-.IP
-4 # 命令数
-.br
-48 0 0 9 # load byte ip\->proto
-.br
-21 0 1 6 # jump equal IPPROTO_TCP
-.br
-6 0 0 1 # return pass (non\-zero)
-.br
-6 0 0 0 # return fail (zero)
-.PP
-このフィルターを bpf マッチに渡すには以下のコマンドのようにする。
-.IP
-iptables \-A OUTPUT \-m bpf \-\-bytecode '4,48 0 0 9,21 0 1 6,6 0 0 1,6 0 0 0'
-\-j ACCEPT
-.PP
-代わりに、 nfbpf_compile ユーティリティを使う方法もある。
-.IP
-iptables \-A OUTPUT \-m bpf \-\-bytecode "`nfbpf_compile RAW 'ip proto 6'`" \-j
-ACCEPT
-.PP
-BPF についてもっと詳しく知るには FreeBSD の bpf(4) manpage を見るといいだろう。
-.SS cluster
-このモジュールを使うと、負荷分散装置なしで、ゲートウェイとバックエンドの負荷分散クラスターを配備できる。
-.PP
-This match requires that all the nodes see the same packets. Thus, the
-cluster match decides if this node has to handle a packet given the
-following options:
-.TP
-\fB\-\-cluster\-total\-nodes\fP \fInum\fP
-クラスターの総ノード数を設定する。
-.TP
-[\fB!\fP] \fB\-\-cluster\-local\-node\fP \fInum\fP
-ローカルノードの数字の ID を設定する。
-.TP
-[\fB!\fP] \fB\-\-cluster\-local\-nodemask\fP \fImask\fP
-ローカルノードの ID マスクを設定する。 このオプションは \fB\-\-cluster\-local\-node\fP の代わりに使うことができる。
-.TP
-\fB\-\-cluster\-hash\-seed\fP \fIvalue\fP
-Jenkins ハッシュのシード値を設定する。
-.PP
-例:
-.IP
-iptables \-A PREROUTING \-t mangle \-i eth1 \-m cluster \-\-cluster\-total\-nodes 2
-\-\-cluster\-local\-node 1 \-\-cluster\-hash\-seed 0xdeadbeef \-j MARK \-\-set\-mark
-0xffff
-.IP
-iptables \-A PREROUTING \-t mangle \-i eth2 \-m cluster \-\-cluster\-total\-nodes 2
-\-\-cluster\-local\-node 1 \-\-cluster\-hash\-seed 0xdeadbeef \-j MARK \-\-set\-mark
-0xffff
-.IP
-iptables \-A PREROUTING \-t mangle \-i eth1 \-m mark ! \-\-mark 0xffff \-j DROP
-.IP
-iptables \-A PREROUTING \-t mangle \-i eth2 \-m mark ! \-\-mark 0xffff \-j DROP
-.PP
-以下のコマンドで、 すべてのノードに同じパケットを届けることができる。
-.IP
-ip maddr add 01:00:5e:00:01:01 dev eth1
-.IP
-ip maddr add 01:00:5e:00:01:02 dev eth2
-.IP
-arptables \-A OUTPUT \-o eth1 \-\-h\-length 6 \-j mangle \-\-mangle\-mac\-s
-01:00:5e:00:01:01
-.IP
-arptables \-A INPUT \-i eth1 \-\-h\-length 6 \-\-destination\-mac 01:00:5e:00:01:01
-\-j mangle \-\-mangle\-mac\-d 00:zz:yy:xx:5a:27
-.IP
-arptables \-A OUTPUT \-o eth2 \-\-h\-length 6 \-j mangle \-\-mangle\-mac\-s
-01:00:5e:00:01:02
-.IP
-arptables \-A INPUT \-i eth2 \-\-h\-length 6 \-\-destination\-mac 01:00:5e:00:01:02
-\-j mangle \-\-mangle\-mac\-d 00:zz:yy:xx:5a:27
-.PP
-\fBNOTE\fP: the arptables commands above use mainstream syntax. If you are
-using arptables\-jf included in some RedHat, CentOS and Fedora versions, you
-will hit syntax errors. Therefore, you'll have to adapt these to the
-arptables\-jf syntax to get them working.
-.PP
-TCP 接続の場合には、応答方向で受信した TCP ACK パケットが有効とマークされないようにするため、ピックアップ (pickup)
-機能を無効する必要がある。
-.IP
-echo 0 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose
-.SS comment
-ルールにコメント (最大 256 文字) を付けることができる。
-.TP
-\fB\-\-comment\fP \fIcomment\fP
-.TP
-例:
-iptables \-A INPUT \-i eth1 \-m comment \-\-comment "my local LAN"
-.SS connbytes
-一つのコネクション (もしくはそのコネクションを構成する 2 つのフローの一方) でそれまでに転送されたバイト数やパケット数、
-もしくはパケットあたりの平均バイト数にマッチする。
-.PP
-カウンターは 64 ビットであり、したがってオーバーフローすることは考えられていない ;)
-.PP
-主な利用方法は、長時間存在するダウンロードを検出し、 これらに印を付けることで、
-トラフィック制御において艇優先帯域を使うようにスケジューリングできるようにすることである。
-.PP
-コネクションあたりの転送バイト数は、 `conntrack \-L` 経由で見ることができ、 ctnetlink 経由でもアクセスすることもできる。
-.PP
-アカウント情報を持っていないコネクションでは、 このマッチングは常に false を返す点に注意すること。
-"net.netfilter.nf_conntrack_acct" sysctl フラグで、
-\fB新規\fPコネクションでバイト数/パケット数の計測が行われるかが制御できる。 sysctl フラグが変更されても、
-既存のコネクションのアカウント情報は影響を受けない。
-.TP
-[\fB!\fP] \fB\-\-connbytes\fP \fIfrom\fP[\fB:\fP\fIto\fP]
-パケット数/バイト数/平均パケットサイズが FROM バイト/パケットより大きく TO バイト/パケットよりも小さいコネクションのパケットにマッチする。
-TO が省略した場合は FROM のみがチェックされる。 "!" を使うと、 この範囲にないパケットにマッチする。
-.TP
-\fB\-\-connbytes\-dir\fP {\fBoriginal\fP|\fBreply\fP|\fBboth\fP}
-どのパケットを計測するかを指定する
-.TP
-\fB\-\-connbytes\-mode\fP {\fBpackets\fP|\fBbytes\fP|\fBavgpkt\fP}
-パケット総数、転送バイト数、これまでに受信した全パケットの平均サイズ (バイト単位) のどれをチェックするかを指定する。 "both" と
-"avgpkt" を組み合わせて使った場合で、 (HTTP のように) データが (主に) 片方向でのみ転送される場合、
-平均パケットサイズは実際のデータパケットの約半分になる点に注意すること。
-.TP
-例:
-iptables .. \-m connbytes \-\-connbytes 10000:100000 \-\-connbytes\-dir both
-\-\-connbytes\-mode bytes ...
-.SS connlimit
-一つのサーバーに対する、 一つのクライアント IP アドレス (またはクライアントアドレスブロック) からの同時接続数を制限することができる。
-.TP
-\fB\-\-connlimit\-upto\fP \fIn\fP
-既存の接続数が \fIn\fP 以下の場合にマッチする。
-.TP
-\fB\-\-connlimit\-above\fP \fIn\fP
-既存の接続数が \fIn\fP より多い場合にマッチする。
-.TP
-\fB\-\-connlimit\-mask\fP \fIprefix_length\fP
-プレフィックス長を使ってホストのグルーピングを行う。 IPv4 の場合には、プレフィックス長は 0 以上 32 以下の値でなければならない。 IPv6
-の場合には 0 以上 128 以下でなければならない。 指定しなかった場合、そのプロトコルで使われる最も長いプレフィックス長が使用される。
-.TP
-\fB\-\-connlimit\-saddr\fP
-送信元グループに対して制限を適用する。 これが \-\-connlimit\-daddr が指定されなかった場合のデフォルトである。
-.TP
-\fB\-\-connlimit\-daddr\fP
-宛先グループに対して制限を適用する。
-.PP
-例:
-.TP
-# クライアントホストあたり 2 つの telnet 接続を許可する
-iptables \-A INPUT \-p tcp \-\-syn \-\-dport 23 \-m connlimit \-\-connlimit\-above 2
-\-j REJECT
-.TP
-# 同じことのに行う別のマッチ方法
-iptables \-A INPUT \-p tcp \-\-syn \-\-dport 23 \-m connlimit \-\-connlimit\-upto 2 \-j
-ACCEPT
-.TP
-# クラス C の送信元ネットワーク (ネットマスクが 24 ビット) あたりの同時 HTTP リクエスト数を 16 までに制限する
-iptables \-p tcp \-\-syn \-\-dport 80 \-m connlimit \-\-connlimit\-above 16
-\-\-connlimit\-mask 24 \-j REJECT
-.TP
-# リンクローカルネットワークからの同時 HTTP リクエスト数を 16 までに制限する
-(ipv6) ip6tables \-p tcp \-\-syn \-\-dport 80 \-s fe80::/64 \-m connlimit
-\-\-connlimit\-above 16 \-\-connlimit\-mask 64 \-j REJECT
-.TP
-# 特定のホスト宛のコネクション数を制限する
-ip6tables \-p tcp \-\-syn \-\-dport 49152:65535 \-d 2001:db8::1 \-m connlimit
-\-\-connlimit\-above 100 \-j REJECT
-.SS connmark
-このモジュールはコネクションに関連づけられた netfilter の mark フィールドにマッチする (このフィールドは、 以下の
-\fBCONNMARK\fP ターゲットで設定される)。
-.TP
-[\fB!\fP] \fB\-\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-指定された mark 値を持つコネクションのパケットにマッチする (mask が指定されると、 比較の前に mask との論理積 (AND)
-がとられる)。
-.SS conntrack
-コネクション追跡 (connection tracking) と組み合わせて使用した場合に、 このモジュールを使うと、
-パケットやコネクションの追跡状態を知ることができる。
-.TP
-[\fB!\fP] \fB\-\-ctstate\fP \fIstatelist\fP
-\fIstatelist\fP はマッチするコネクション状態 (connection state) のリストで、 コンマ区切りで指定する。
-指定できる状態のリストは後述。
-.TP
-[\fB!\fP] \fB\-\-ctproto\fP \fIl4proto\fP
-指定されたレイヤ 4 のプロトコルにマッチする。 プロトコルは名前または数値で指定する。
-.TP
-[\fB!\fP] \fB\-\-ctorigsrc\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-.TP
-[\fB!\fP] \fB\-\-ctorigdst\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-.TP
-[\fB!\fP] \fB\-\-ctreplsrc\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-.TP
-[\fB!\fP] \fB\-\-ctrepldst\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-順方向/反対方向のコネクションの送信元/宛先アドレスにマッチする。
-.TP
-[\fB!\fP] \fB\-\-ctorigsrcport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-ctorigdstport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-ctreplsrcport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-ctrepldstport\fP \fIport\fP[\fB:\fP\fIport\fP]
-順方向/反対方向のコネクションの (TCP/UDPなどの) 送信元/宛先ポートアドレス、 もしくは GRE キーにマッチする。
-ポートの範囲指定はカーネル 2.6.38 以降でのみサポートされている。
-.TP
-[\fB!\fP] \fB\-\-ctstatus\fP \fIstatelist\fP
-\fIstatuslist\fP はマッチするコネクション状況 (connection status) のリストで、 コンマ区切りで指定する。
-指定できる状況のリストは後述。
-.TP
-[\fB!\fP] \fB\-\-ctexpire\fP \fItime\fP[\fB:\fP\fItime\fP]
-有効期間の残り秒数、 またはその範囲(両端を含む)にマッチする。
-.TP
-\fB\-\-ctdir\fP {\fBORIGINAL\fP|\fBREPLY\fP}
-指定した方向に流れるパケットにマッチする。 このフラグが全く指定されなかった場合、 両方向のパケットがマッチする。
-.PP
-\fB\-\-ctstate\fP に指定できる状態は以下の通り。
-.TP
-\fBINVALID\fP
-そのパケットはどの既知のコネクションとも関連付けられていない。
-.TP
-\fBNEW\fP
-そのパケットが新しいコネクションを開始しようとしている。 もしくは、 両方の方向でパケットが観測されていないコネクションに関連付けられる。
-.TP
-\fBESTABLISHED\fP
-そのパケットが、 両方向のパケットが観測されたコネクションに関連付けられる。
-.TP
-\fBRELATED\fP
-そのパケットは、新しいコネクションを開始しようとしているが、 既存のコネクションと関連付けられる。 FTP データ転送や ICMP
-エラーなどが該当する。
-.TP
-\fBUNTRACKED\fP
-そのパケットは全く追跡されていない。 この状態は、 raw テーブルで \-j CT \-\-notrack
-を使って明示的にそのパケットを追跡しないようにしている場合に起こる。
-.TP
-\fBSNAT\fP
-元の送信元アドレスが応答の宛先アドレスと異なる場合にマッチする仮想的な状態。
-.TP
-\fBDNAT\fP
-元の宛先アドレスが応答の送信元アドレスと異なる場合にマッチする仮想的な状態。
-.PP
-\fB\-\-ctstatus\fP に指定できる値は以下の通り。
-.TP
-\fBNONE\fP
-以下のいずれでもない。
-.TP
-\fBEXPECTED\fP
-期待通りのコネクションである (つまり conntrack のヘルパーがコネクションをセットアップした)。
-.TP
-\fBSEEN_REPLY\fP
-conntrack が両方の方向でパケットを観測済である。
-.TP
-\fBASSURED\fP
-conntrack エントリが early\-expired されることはない。
-.TP
-\fBCONFIRMED\fP
-Connection is confirmed: originating packet has left box.
-.SS cpu
-.TP
-[\fB!\fP] \fB\-\-cpu\fP \fInumber\fP
-このパケットを処理する CPU にマッチする。 CPU には 0 から NR_CPUS\-1 の番号が振られる。
-ネットワークトラフィックを複数のキューに分散させるために RPS (Remote Packet Steering) やマルチキュー NIC
-と組み合わせて使用できる。
-.PP
-例:
-.PP
-iptables \-t nat \-A PREROUTING \-p tcp \-\-dport 80 \-m cpu \-\-cpu 0 \-j REDIRECT
-\-\-to\-port 8080
-.PP
-iptables \-t nat \-A PREROUTING \-p tcp \-\-dport 80 \-m cpu \-\-cpu 1 \-j REDIRECT
-\-\-to\-port 8081
-.PP
-Linux 2.6.36 以降で利用可能。
-.SS dccp
-.TP
-[\fB!\fP] \fB\-\-source\-port\fP,\fB\-\-sport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-destination\-port\fP,\fB\-\-dport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-dccp\-types\fP \fImask\fP
-DCCP パケットタイプが \fImask\fP のいずれかであればマッチする。 \fImask\fP はカンマ区切りのパケットタイプのリストである。
-指定できるパケットタイプは \fBREQUEST RESPONSE DATA ACK DATAACK CLOSEREQ CLOSE RESET SYNC
-SYNCACK INVALID\fP である。
-.TP
-[\fB!\fP] \fB\-\-dccp\-option\fP \fInumber\fP
-DCCP オプションが設定されている場合にマッチする。
-.SS devgroup
-パケットの受信/送信インターフェースのデバイスグループにマッチする。
-.TP
-[\fB!\fP] \fB\-\-src\-group\fP \fIname\fP
-受信デバイスのデバイスグループにマッチする
-.TP
-[\fB!\fP] \fB\-\-dst\-group\fP \fIname\fP
-送信デバイスのデバイスグループにマッチする
-.SS dscp
-このモジュールは、 IP ヘッダーの TOS フィールド内にある、 6 bit の DSCP フィールドにマッチする。 IETF では DSCP が
-TOS に取って代わった。
-.TP
-[\fB!\fP] \fB\-\-dscp\fP \fIvalue\fP
-(10 進または 16 進の) 数値 [0\-63] にマッチする。
-.TP
-[\fB!\fP] \fB\-\-dscp\-class\fP \fIclass\fP
-DiffServ クラスにマッチする。 値は BE, EF, AFxx, CSx クラスのいずれかである。 対応する数値に変換される。
-.SS "dst (IPv6 のみ)"
-このモジュールは宛先オプションヘッダーのパラメータにマッチする。
-.TP
-[\fB!\fP] \fB\-\-dst\-len\fP \fIlength\fP
-このヘッダーの全体の長さ (8進数)。
-.TP
-\fB\-\-dst\-opts\fP \fItype\fP[\fB:\fP\fIlength\fP][\fB,\fP\fItype\fP[\fB:\fP\fIlength\fP]...]
-数値のオプションタイプとオプションデータのオクテット単位の長さ。
-.SS ecn
-IPv4/IPv6 と TCP ヘッダーの ECN ビットにマッチングを行う。 ECN とは RFC3168 で規定された Explicit
-Congestion Notification (明示的な輻輳通知) 機構のことである。
-.TP
-[\fB!\fP] \fB\-\-ecn\-tcp\-cwr\fP
-TCP ECN CWR (Congestion Window Received) ビットがセットされている場合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-ecn\-tcp\-ece\fP
-TCP ECN ECE (ECN Echo) ビットがセットされている場合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-ecn\-ip\-ect\fP \fInum\fP
-特定の IPv4/IPv6 ECT (ECN\-Capable Transport) にマッチする。 `0' 以上 `3'
-以下の値を指定しなければならない。
-.SS esp
-このモジュールは IPsec パケットの ESP ヘッダーの SPI 値にマッチする。
-.TP
-[\fB!\fP] \fB\-\-espspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
-.SS "eui64 (IPv6 のみ)"
-このモジュールは stateless の自動で設定された IPv6 アドレスの EUI\-64 の部分にマッチする。 Ethernet の送信元 MAC
-アドレスに基づく EUI\-64 と IPv6 送信元アドレスの下位 64 ビットの比較が行われる。 ただし "Universal/Local"
-ビットは比較されない。 このモジュールは他のリンク層フレームにはマッチしない。 このモジュールは \fBPREROUTING\fP, \fBINPUT\fP,
-\fBFORWARD\fP チェインでのみ有効である。
-.SS "frag (IPv6 のみ)"
-このモジュールはフラグメントヘッダーのパラメータにマッチする。
-.TP
-[\fB!\fP] \fB\-\-fragid\fP \fIid\fP[\fB:\fP\fIid\fP]
-指定された値もしくは範囲の ID にマッチする。
-.TP
-[\fB!\fP] \fB\-\-fraglen\fP \fIlength\fP
-このオプションはバージョン 2.6.10 以降のカーネルでは使用できない。 フラグメントヘッダー長は変化しないので、このオプションは意味を持たない。
-.TP
-\fB\-\-fragres\fP
-予約フィールドに 0 が入っている場合にマッチする。
-.TP
-\fB\-\-fragfirst\fP
-最初のフラグメントにマッチする。
-.TP
-\fB\-\-fragmore\fP
-さらにフラグメントが続く場合にマッチする。
-.TP
-\fB\-\-fraglast\fP
-最後のフラグメントの場合にマッチする。
-.SS hashlimit
-\fBhashlimit\fP uses hash buckets to express a rate limiting match (like the
-\fBlimit\fP match) for a group of connections using a \fBsingle\fP iptables
-rule. Grouping can be done per\-hostgroup (source and/or destination address)
-and/or per\-port. It gives you the ability to express "\fIN\fP packets per time
-quantum per group" or "\fIN\fP bytes per seconds" (see below for some
-examples).
-.PP
-hash limit オプション (\fB\-\-hashlimit\-upto\fP, \fB\-\-hashlimit\-above\fP) と
-\fB\-\-hashlimit\-name\fP は必須である。
-.TP
-\fB\-\-hashlimit\-upto\fP \fIamount\fP[\fB/second\fP|\fB/minute\fP|\fB/hour\fP|\fB/day\fP]
-単位時間あたりの平均マッチ回数の最大値。 数値で指定され、 添字 `/second', `/minute', `/hour', `/day'
-を付けることもできる。 デフォルトは 3/hour である。
-.TP
-\fB\-\-hashlimit\-above\fP \fIamount\fP[\fB/second\fP|\fB/minute\fP|\fB/hour\fP|\fB/day\fP]
-レートが指定された区間での \fIamount\fP より大きい場合にマッチする。
-.TP
-\fB\-\-hashlimit\-burst\fP \fIamount\fP
-パケットがマッチする回数の最大初期値: 上のオプションで指定した制限に達しなければ、 マッチするごとに、 この数値になるまで 1 個ずつ増やされる。
-デフォルトは 5 である。 バイトでのレート照合が要求された場合、 このオプションは指定レートを超過できるバイト数を規定する。
-このオプションを使用する際には注意が必要である \-\- エントリがタイムアウトで削除される際に、バースト値もリセットされる。
-.TP
-\fB\-\-hashlimit\-mode\fP {\fBsrcip\fP|\fBsrcport\fP|\fBdstip\fP|\fBdstport\fP}\fB,\fP...
-対象とする要素のカンマ区切りのリスト。 \-\-hashlimit\-mode オプションが指定されなかった場合、 hashlimit は limit
-と同じ動作をするが、 ハッシュの管理を行うコストがかかる。
-.TP
-\fB\-\-hashlimit\-srcmask\fP \fIprefix\fP
-When \-\-hashlimit\-mode srcip is used, all source addresses encountered will
-be grouped according to the given prefix length and the so\-created subnet
-will be subject to hashlimit. \fIprefix\fP must be between (inclusive) 0 and
-32. Note that \-\-hashlimit\-srcmask 0 is basically doing the same thing as not
-specifying srcip for \-\-hashlimit\-mode, but is technically more expensive.
-.TP
-\fB\-\-hashlimit\-dstmask\fP \fIprefix\fP
-Like \-\-hashlimit\-srcmask, but for destination addresses.
-.TP
-\fB\-\-hashlimit\-name\fP \fIfoo\fP
-/proc/net/ipt_hashlimit/foo エントリの名前。
-.TP
-\fB\-\-hashlimit\-htable\-size\fP \fIbuckets\fP
-ハッシュテーブルのバケット数。
-.TP
-\fB\-\-hashlimit\-htable\-max\fP \fIentries\fP
-ハッシュの最大エントリ数。
-.TP
-\fB\-\-hashlimit\-htable\-expire\fP \fImsec\fP
-ハッシュエントリが何ミリ秒後に削除されるか。
-.TP
-\fB\-\-hashlimit\-htable\-gcinterval\fP \fImsec\fP
-ガベージコレクションの間隔 (ミリ秒)。
-.PP
-例:
-.TP
-送信元ホストに対するマッチ
-"192.168.0.0/16 の各ホストに対して 1000 パケット/秒" => \-s 192.168.0.0/16
-\-\-hashlimit\-mode srcip \-\-hashlimit\-upto 1000/sec
-.TP
-送信元ポートに対するマッチ
-"192.168.1.1 の各サービスに対して 100 パケット/秒" => \-s 192.168.1.1 \-\-hashlimit\-mode
-srcport \-\-hashlimit\-upto 100/sec
-.TP
-サブネットに対するマッチ
-"10.0.0.0/8 内の /28 サブネット (アドレス 8 個のグループ) それぞれに対して 10000 パケット/秒" => \-s
-10.0.0.0/8 \-\-hashlimit\-mask 28 \-\-hashlimit\-upto 10000/min
-.TP
-バイト/秒によるマッチ
-"512kbyte/s を超過したフロー" => \-\-hashlimit\-mode srcip,dstip,srcport,dstport
-\-\-hashlimit\-above 512kb/s
-.TP
-バイト/秒によるマッチ
-"512kbyte/s を超過するとマッチするが、 1 メガバイトに達するまではマッチせず許可する" \-\-hashlimit\-mode dstip
-\-\-hashlimit\-above 512kb/s \-\-hashlimit\-burst 1mb
-.SS "hbh (IPv6 のみ)"
-このモジュールは Hop\-by\-Hop オプションヘッダーのパラメータにマッチする。
-.TP
-[\fB!\fP] \fB\-\-hbh\-len\fP \fIlength\fP
-このヘッダーの全体の長さ (8進数)。
-.TP
-\fB\-\-hbh\-opts\fP \fItype\fP[\fB:\fP\fIlength\fP][\fB,\fP\fItype\fP[\fB:\fP\fIlength\fP]...]
-数値のオプションタイプとオプションデータのオクテット単位の長さ。
-.SS helper
-このモジュールは、 指定されたコネクション追跡ヘルパーモジュールに 関連するパケットにマッチする。
-.TP
-[\fB!\fP] \fB\-\-helper\fP \fIstring\fP
-指定されたコネクション追跡ヘルパーモジュールに 関連するパケットにマッチする。
-.RS
-.PP
-デフォルトのポートを使った ftp\-セッションに関連するパケットでは、 string に "ftp" と書ける。 他のポートでは "\-ポート番号"
-を値に付け加える。 すなわち "ftp\-2121" となる。
-.PP
-他のコネクション追跡ヘルパーでも同じルールが適用される。
-.RE
-.SS "hl (IPv6 のみ)"
-このモジュールは IPv6 ヘッダーの Hop Limit フィールドにマッチする。
-.TP
-[\fB!\fP] \fB\-\-hl\-eq\fP \fIvalue\fP
-Hop Limit が \fIvalue\fP と同じ場合にマッチする。
-.TP
-\fB\-\-hl\-lt\fP \fIvalue\fP
-Hop Limit が \fIvalue\fP より小さい場合にマッチする。
-.TP
-\fB\-\-hl\-gt\fP \fIvalue\fP
-Hop Limit が \fIvalue\fP より大きい場合にマッチする。
-.SS "icmp (IPv4 の場合)"
-この拡張は `\-\-protocol icmp' が指定された場合に使用でき、 以下のオプションが提供される:
-.TP
-[\fB!\fP] \fB\-\-icmp\-type\fP {\fItype\fP[\fB/\fP\fIcode\fP]|\fItypename\fP}
-ICMP タイプを指定できる。 タイプ指定には、 数値の ICMP タイプ、 タイプ/コードの組、 または以下のコマンド で表示される ICMP
-タイプ名を指定できる。
-.nf
- iptables \-p icmp \-h
-.fi
-.SS "icmp6 (IPv6 のみ)"
-これらの拡張は `\-\-protocol ipv6\-icmp' または `\-\-protocol icmpv6' が指定された場合に使用でき、
-以下のオプションが提供される:
-.TP
-[\fB!\fP] \fB\-\-icmpv6\-type\fP \fItype\fP[\fB/\fP\fIcode\fP]|\fItypename\fP
-ICMPv6 タイプを指定できる。 タイプ指定には、 数値の ICMP \fItype\fP、 \fItype\fP と \fIcode\fP、 または以下のコマンド
-で表示される ICMPv6 タイプ名を指定できる。
-.nf
- ip6tables \-p ipv6\-icmp \-h
-.fi
-.SS iprange
-このモジュールは指定された任意の範囲の IP アドレスにマッチする。
-.TP
-[\fB!\fP] \fB\-\-src\-range\fP \fIfrom\fP[\fB\-\fP\fIto\fP]
-指定された範囲の送信元 IP にマッチする。
-.TP
-[\fB!\fP] \fB\-\-dst\-range\fP \fIfrom\fP[\fB\-\fP\fIto\fP]
-指定された範囲の宛先 IP にマッチする。
-.SS "ipv6header (IPv6 のみ)"
-このモジュールは IPv6 拡張ヘッダー、 上位レイヤのヘッダー、もしくはその両方にマッチする。
-.TP
-\fB\-\-soft\fP
-パケットが \fB\-\-header\fP で指定されたヘッダーの\fBいずれか\fPを含む場合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-header\fP \fIheader\fP[\fB,\fP\fIheader\fP...]
-Matches the packet which EXACTLY includes all specified headers. The headers
-encapsulated with ESP header are out of scope. Possible \fIheader\fP types can
-be:
-.TP
-\fBhop\fP|\fBhop\-by\-hop\fP
-Hop\-by\-Hop オプションヘッダー
-.TP
-\fBdst\fP
-宛先オプションヘッダー
-.TP
-\fBroute\fP
-ルーティングヘッダー
-.TP
-\fBfrag\fP
-フラグメントヘッダー
-.TP
-\fBauth\fP
-認証ヘッダー (AH)
-.TP
-\fBesp\fP
-ESP (Encapsulating Security Payload) ヘッダー
-.TP
-\fBnone\fP
-No Next header which matches 59 in the 'Next Header field' of IPv6 header or
-any IPv6 extension headers
-.TP
-\fBproto\fP
-which matches any upper layer protocol header. A protocol name from
-/etc/protocols and numeric value also allowed. The number 255 is equivalent
-to \fBproto\fP.
-.SS ipvs
-IPVS コネクション属性にマッチする。
-.TP
-[\fB!\fP] \fB\-\-ipvs\fP
-IPVS コネクションに属すパケット
-.TP
-以下のオプションでは \-\-ipvs も暗黙のうちに指定される (否定の場合も含む)
-.TP
-[\fB!\fP] \fB\-\-vproto\fP \fIprotocol\fP
-マッチする VIP プロトコル (数値か名前 (例えば "tcp") で指定する)
-.TP
-[\fB!\fP] \fB\-\-vaddr\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-マッチする VIP アドレス
-.TP
-[\fB!\fP] \fB\-\-vport\fP \fIport\fP
-マッチする VIP プロトコル (数値か名前 (例えば \"http\") で指定する)
-.TP
-\fB\-\-vdir\fP {\fBORIGINAL\fP|\fBREPLY\fP}
-パケットフローの方向
-.TP
-[\fB!\fP] \fB\-\-vmethod\fP {\fBGATE\fP|\fBIPIP\fP|\fBMASQ\fP}
-使用する IPVS の転送方法
-.TP
-[\fB!\fP] \fB\-\-vportctl\fP \fIport\fP
-マッチする制御用コネクションの VIP ポート (例えば FTP であれば 21)
-.SS length
-このモジュールは、 パケットのレイヤ 3 ペイロード (例えばレイヤ 4 パケット) の長さが、 指定された値、 または値の範囲にあればマッチする。
-.TP
-[\fB!\fP] \fB\-\-length\fP \fIlength\fP[\fB:\fP\fIlength\fP]
-.SS limit
-このモジュールは、 トークンバケットフィルタを使って制限レートのマッチを行う。 この拡張を使ったルールは、指定された制限に達するまでマッチする。
-例えば、 このモジュールはログ記録を制限するために \fBLOG\fP ターゲットと組み合わせて使うことができる。
-.PP
-xt_limit has no negation support \- you will have to use \-m hashlimit !
-\-\-hashlimit \fIrate\fP in this case whilst omitting \-\-hashlimit\-mode.
-.TP
-\fB\-\-limit\fP \fIrate\fP[\fB/second\fP|\fB/minute\fP|\fB/hour\fP|\fB/day\fP]
-単位時間あたりの平均マッチ回数の最大値。 数値で指定され、 添字 `/second', `/minute', `/hour', `/day'
-を付けることもできる。 デフォルトは 3/hour である。
-.TP
-\fB\-\-limit\-burst\fP \fInumber\fP
-パケットがマッチする回数の最大初期値: 上のオプションで指定した制限に達しなければ、 マッチするごとに、 この数値になるまで 1 個ずつ増やされる。
-デフォルトは 5 である。
-.SS mac
-.TP
-[\fB!\fP] \fB\-\-mac\-source\fP \fIaddress\fP
-送信元 MAC アドレスにマッチする。 \fIaddress\fP は XX:XX:XX:XX:XX:XX と
-いう形式でなければならない。 イーサーネットデバイスから入ってくるパケッ
-トで、 \fBPREROUTING\fP, \fBFORWARD\fP, \fBINPUT\fP チェインに入るパケットにしか
-意味がない。
-.SS mark
-このモジュールはパケットに関連づけられた netfilter の mark フィールドにマッチする (このフィールドは、 以下の \fBMARK\fP
-ターゲットで設定される)。
-.TP
-[\fB!\fP] \fB\-\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-指定された符号なしの mark 値を持つパケットにマッチする (\fImask\fP が指定されると、 比較の前に \fImask\fP との論理積 (AND)
-がとられる)。
-.SS "mh (IPv6 のみ)"
-この拡張は `\-\-protocol ipv6\-mh' または `\-\-protocol mh' が指定された場合にロードされる。
-以下のオプションが提供される。
-.TP
-[\fB!\fP] \fB\-\-mh\-type\fP \fItype\fP[\fB:\fP\fItype\fP]
-Mobility Header (MH) タイプを指定できる。 タイプ指定には、 数値の MH タイプか、 以下のコマンドで表示される MH
-タイプ名を指定できる。
-.nf
- ip6tables \-p mh \-h
-.fi
-.SS multiport
-このモジュールは送信元ポートや宛先ポートの集合にマッチする。 ポートは 15 個まで指定できる。 ポートの範囲指定 (port:port) は 2
-ポートとカウントされる。 このモジュールが使用できるのは \fBtcp\fP, \fBudp\fP, \fBudplite\fP, \fBdccp\fP, \fBsctp\fP
-のいずれかと組み合わせた場合だけである。
-.TP
-[\fB!\fP] \fB\-\-source\-ports\fP,\fB\-\-sports\fP \fIport\fP[\fB,\fP\fIport\fP|\fB,\fP\fIport\fP\fB:\fP\fIport\fP]...
-送信元ポートが指定されたポートのいずれにマッチする。 フラグ \fB\-\-sports\fP はこのオプションの便利な別名である。
-複数のポートやポート範囲がカンマ区切りで指定できる。 ポート範囲はコロン区切りで指定する。 したがって \fB53,1024:65535\fP はポート 53
-および 1024 から 65535 までの全ポートにマッチする。
-.TP
-[\fB!\fP] \fB\-\-destination\-ports\fP,\fB\-\-dports\fP \fIport\fP[\fB,\fP\fIport\fP|\fB,\fP\fIport\fP\fB:\fP\fIport\fP]...
-宛先ポートが指定されたポートのうちのいずれかであればマッチする。
-フラグ \fB\-\-dports\fP は、 このオプションの便利な別名である。
-.TP
-[\fB!\fP] \fB\-\-ports\fP \fIport\fP[\fB,\fP\fIport\fP|\fB,\fP\fIport\fP\fB:\fP\fIport\fP]...
-送信元ポートと宛先ポートの一方が指定されたポートのいずれか一つと等しければ、 マッチする。
-.SS nfacct
-nfacct マッチングは iptable に拡張アカウンティング機構を提供する。 このマッチングモジュールはユーザー空間スタンドアロンユーティリティ
-\fBnfacct\fP(8) と一緒に使う必要がある。
-.PP
-以下のオプションだけがこのマッチングで使用できる。
-.TP
-\fB\-\-nfacct\-name\fP \fIname\fP
-このルールセットがマッチするトラフィック量を記録するのに使用する既存のオブジェクト名を指定する。
-.PP
-この拡張を使用するには、アカウンティングオブジェクトを作成する必要があります。
-.IP
-nfacct add http\-traffic
-.PP
-それから、iptables を使ってアカウンティングオブジェクトにトラフィックを関連付けます。
-.IP
-iptables \-I INPUT \-p tcp \-\-sport 80 \-m nfacct \-\-nfacct\-name http\-traffic
-.IP
-iptables \-I OUTPUT \-p tcp \-\-dport 80 \-m nfacct \-\-nfacct\-name http\-traffic
-.PP
-そうすると、ルールにマッチしたトラフィック量をチェックできる。
-.IP
-nfacct get http\-traffic
-.IP
-{ pkts = 00000000000000000156, bytes = 00000000000000151786 } =
-http\-traffic;
-.PP
-\fBnfacct\fP(8) は http://www.netfilter.org もしくは git.netfilter.org リポジトリから入手できる。
-.SS osf
-osf モジュールは受動的な OS (オペレーティングシステム) フィンガープリンティングを行う。 このモジュールは SYN
-ビットがセットされたパケットのいくつかのデータ (Window Size, MSS, オプションとその順序, TTL, DF など) を比較する。
-.TP
-[\fB!\fP] \fB\-\-genre\fP \fIstring\fP
-受動的フィンガープリンティングでマッチさせるオペレーティングシステムのジャンル。
-.TP
-\fB\-\-ttl\fP \fIlevel\fP
-パケットに対して、オペレーティングシステムを判定するための追加の TTL チェックを行う。 \fIlevel\fP には以下の値のいずれを指定できる。
-.IP \(bu 4
-0 \- 本当の IP アドレスとフィンガープリント TTL の比較を行う。 一般に LAN で有効である。
-.IP \(bu 4
-1 \- IP ヘッダーの TTL がフィンガープリント TTL より小さいかチェックする。 グローバルにルーティング可能なアドレスで有効である。
-.IP \(bu 4
-2 \- TTL の比較を全く行わない。
-.TP
-\fB\-\-log\fP \fIlevel\fP
-判別したジャンルが期待するものと違う場合でもロギングするかどうか。 \fIlevel\fP には以下のいずれかを指定できる。
-.IP \(bu 4
-マッチしたシグネチャーと不明なシグネチャーをすべて記録する
-.IP \(bu 4
-1 \- 最初にマッチしたもののみを記録する
-.IP \(bu 4
-2 \- マッチした既知のシグネチャーをすべて記録する
-.PP
-syslog に以下のようなメッセージが記録される。
-.PP
-Windows [2000:SP3:Windows XP Pro SP1, 2000 SP3]: 11.22.33.55:4024 \->
-11.22.33.44:139 hops=3 Linux [2.5\-2.6:] : 1.2.3.4:42624 \-> 1.2.3.5:22
-hops=4
-.PP
-OS フィンガープリントは \fBnfnl_osf\fP プログラムを使ってロードできる。 ファイルからフィンガープリントをロードするには以下のようにする。
-.PP
-\fBnfnl_osf \-f /usr/share/xtables/pf.os\fP
-.PP
-再度削除するには以下のようにする。
-.PP
-\fBnfnl_osf \-f /usr/share/xtables/pf.os \-d\fP
-.PP
-フィンガープリントデータベースは http://www.openbsd.org/cgi\-bin/cvsweb/src/etc/pf.os
-からダウンロードできる。
-.SS owner
-このモジュールは、 ローカルで生成されたパケットに対して、 パケット生成者の様々な特性に対するマッチを行う。 このマッチは OUTPUT チェインか
-POSTROUTING チェインでのみ有効である。 転送パケットはどのソケットとも関連付けられていない。
-カーネルスレッドからのパケットには対応するソケットがあるが、 通常ソケットの所有者はいない。
-.TP
-[\fB!\fP] \fB\-\-uid\-owner\fP \fIusername\fP
-.TP
-[\fB!\fP] \fB\-\-uid\-owner\fP \fIuserid\fP[\fB\-\fP\fIuserid\fP]
-そのパケットのソケットのファイル構造体が存在し、ソケットの所有者が指定されたユーザーの場合にマッチする。 数値の UID や UID
-の範囲を指定することもできる。
-.TP
-[\fB!\fP] \fB\-\-gid\-owner\fP \fIgroupname\fP
-.TP
-[\fB!\fP] \fB\-\-gid\-owner\fP \fIgroupid\fP[\fB\-\fP\fIgroupid\fP]
-そのパケットのソケットのファイル構造体の所有者が指定されたグループの場合にマッチする。 数値の GID や GID の範囲を指定することもできる。
-.TP
-[\fB!\fP] \fB\-\-socket\-exists\fP
-パケットがソケットに関連付けられている場合にマッチする。
-.SS physdev
-このモジュールは、 ブリッジデバイスのスレーブにされた、 ブリッジポートの入出力デバイスにマッチする。 このモジュールは、 ブリッジによる透過的な IP
-ファイアウォールの基盤の一部であり、 カーネルバージョン 2.5.44 以降でのみ有効である。
-.TP
-[\fB!\fP] \fB\-\-physdev\-in\fP \fIname\fP
-パケットが受信されるブリッジのポート名 (\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインに入るパケットのみ)。
-インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。
-ブリッジデバイスを通して受け取られなかったパケットは、 \&'!' が指定されていない限り、 このオプションにマッチしない。
-.TP
-[\fB!\fP] \fB\-\-physdev\-out\fP \fIname\fP
-パケットを送信することになるブリッジのポート名 (\fBFORWARD\fP, \fBOUTPUT\fP, \fBPOSTROUTING\fP
-チェインに入るパケットのみ)。 インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 \fBnat\fP
-と \fBmangle\fP テーブルの \fBOUTPUT\fP チェインではブリッジの出力ポートにマッチさせることができないが、 \fBfilter\fP テーブルの
-\fBOUPUT\fP チェインではマッチ可能である。 パケットがブリッジデバイスから送られなかった場合、 またはパケットの出力デバイスが不明であった場合は、
-\&'!' が指定されていない限り、 パケットはこのオプションにマッチしない。
-.TP
-[\fB!\fP] \fB\-\-physdev\-is\-in\fP
-パケットがブリッジインターフェースに入った場合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-physdev\-is\-out\fP
-パケットがブリッジインターフェースから出ようとした場合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-physdev\-is\-bridged\fP
-パケットがブリッジされることにより、 ルーティングされなかった場合にマッチする。 これは FORWARD, POSTROUTING
-チェインにおいてのみ役立つ。
-.SS pkttype
-このモジュールは、 リンク層のパケットタイプにマッチする。
-.TP
-[\fB!\fP] \fB\-\-pkt\-type\fP {\fBunicast\fP|\fBbroadcast\fP|\fBmulticast\fP}
-.SS policy
-このモジュールはパケットを処理する IPsec が使用するポリシーにマッチする。
-.TP
-\fB\-\-dir\fP {\fBin\fP|\fBout\fP}
-復号 (decapsulation) に使用するポリシーにマッチするか、カプセル化 (encapsulation)
-に使用するポリシーにマッチするかを指定する。 \fBin\fP はチェイン \fBPREROUTING, INPUT, FORWARD\fP で有効で、
-\fBout\fP はチェイン \fBPOSTROUTING, OUTPUT, FORWARD\fP で有効である。
-.TP
-\fB\-\-pol\fP {\fBnone\fP|\fBipsec\fP}
-パケットが IPsec 処理対象であればマッチする。 \fB\-\-pol none\fP は \fB\-\-strict\fP と一緒に使用できない。
-.TP
-\fB\-\-strict\fP
-ポリシーが正確にマッチするか、指定したポリシーがポリシーのいずれかのルールにマッチするかを指定する。
-.PP
-それぞれのポリシー要素を定義するのに、以下のオプション (複数可) を使用することができる。 \fB\-\-strict\fP
-が有効になっている場合、各要素につき少なくともオプションを一つ指定しなければならない。
-.TP
-[\fB!\fP] \fB\-\-reqid\fP \fIid\fP
-ポリシールールの reqid にマッチする。 reqid は \fBsetkey\fP(8) でレベルとして \fBunique:id\fP を使って指定できる。
-.TP
-[\fB!\fP] \fB\-\-spi\fP \fIspi\fP
-SA の SPI にマッチする。
-.TP
-[\fB!\fP] \fB\-\-proto\fP {\fBah\fP|\fBesp\fP|\fBipcomp\fP}
-カプセル化プロトコルにマッチする。
-.TP
-[\fB!\fP] \fB\-\-mode\fP {\fBtunnel\fP|\fBtransport\fP}
-カプセル化モードにマッチする。
-.TP
-[\fB!\fP] \fB\-\-tunnel\-src\fP \fIaddr\fP[\fB/\fP\fImask\fP]
-トンネルモード SA の送信元エンドポイントアドレスにマッチする。 \fB\-\-mode tunnel\fP との組み合わせでのみ有効。
-.TP
-[\fB!\fP] \fB\-\-tunnel\-dst\fP \fIaddr\fP[\fB/\fP\fImask\fP]
-トンネルモード SA の宛先エンドポイントアドレスにマッチする。 \fB\-\-mode tunnel\fP との組み合わせでのみ有効。
-.TP
-\fB\-\-next\fP
-ポリシー定義の次の要素から開始する。 \fB\-\-strict\fP との組み合わせでのみ使用できる。
-.SS quota
-Implements network quotas by decrementing a byte counter with each
-packet. The condition matches until the byte counter reaches zero. Behavior
-is reversed with negation (i.e. the condition does not match until the byte
-counter reaches zero).
-.TP
-[\fB!\fP] \fB\-\-quota\fP \fIbytes\fP
-バイト単位のクォータ。
-.SS rateest
-レート推測器 (rate estimator) は RATEEST ターゲットで収集された推定レートにマッチする。 bps/pps
-の絶対値に対するマッチング、 2 つのレート推測器の比較、 2 つのレート推測器の差分に対するマッチングをサポートしている。
-.PP
-.\" * Absolute:
-利用可能なオプションが分かりやすいように、すべての可能な組み合わせを以下に示す。
-.IP \(bu 4
-\fBrateest\fP \fIoperator\fP \fBrateest\-bps\fP
-.IP \(bu 4
-.\" * Absolute + Delta:
-\fBrateest\fP \fIoperator\fP \fBrateest\-pps\fP
-.IP \(bu 4
-(\fBrateest\fP minus \fBrateest\-bps1\fP) \fIoperator\fP \fBrateest\-bps2\fP
-.IP \(bu 4
-.\" * Relative:
-(\fBrateest\fP minus \fBrateest\-pps1\fP) \fIoperator\fP \fBrateest\-pps2\fP
-.IP \(bu 4
-\fBrateest1\fP \fIoperator\fP \fBrateest2\fP \fBrateest\-bps\fP(without rate!)
-.IP \(bu 4
-.\" * Relative + Delta:
-\fBrateest1\fP \fIoperator\fP \fBrateest2\fP \fBrateest\-pps\fP(without rate!)
-.IP \(bu 4
-(\fBrateest1\fP minus \fBrateest\-bps1\fP) \fIoperator\fP (\fBrateest2\fP minus
-\fBrateest\-bps2\fP)
-.IP \(bu 4
-(\fBrateest1\fP minus \fBrateest\-pps1\fP) \fIoperator\fP (\fBrateest2\fP minus
-\fBrateest\-pps2\fP)
-.TP
-\fB\-\-rateest\-delta\fP
-(絶対モードでも相対モードでも) 各レート推測器について、 レート推測器が推測したフローレートと BPS/PPS
-オプションで指定された固定値の差分を計算する。 フローレートが指定された BPS/PPS よりも大きい場合、 負の値ではなく 0 が代わりに使用される。
-つまり "max(0, rateest#_rate \- rateest#_bps)" が使用される。
-.TP
-[\fB!\fP] \fB\-\-rateest\-lt\fP
-レートが指定されたレートかレート推測器のレートよりも低い場合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-rateest\-gt\fP
-レートが指定されたレートかレート推測器のレートよりも高い場合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-rateest\-eq\fP
-レートが指定されたレートかレート推測器のレートと等しい場合にマッチする。
-.PP
-いわゆる「絶対モード」では、使用できるレート推測器は一つだけであり、固定値に対する比較だけができる。一方、「相対モード」では、2
-つのレート推測器が使用でき、レート推測器どうしの比較ができる。
-.TP
-\fB\-\-rateest\fP \fIname\fP
-絶対モードで使用するレート推測器の名前
-.TP
-\fB\-\-rateest1\fP \fIname\fP
-.TP
-\fB\-\-rateest2\fP \fIname\fP
-相対モードで使用する 2 つレート推測器の名前
-.TP
-\fB\-\-rateest\-bps\fP [\fIvalue\fP]
-.TP
-\fB\-\-rateest\-pps\fP [\fIvalue\fP]
-.TP
-\fB\-\-rateest\-bps1\fP [\fIvalue\fP]
-.TP
-\fB\-\-rateest\-bps2\fP [\fIvalue\fP]
-.TP
-\fB\-\-rateest\-pps1\fP [\fIvalue\fP]
-.TP
-\fB\-\-rateest\-pps2\fP [\fIvalue\fP]
-レート推測器と指定した値を、秒間のバイト数またはパケット数で比較する。 どのオプションがどの場合に使用できるかは上の箇条書きのリストを見てほしい。
-単位を示す接尾辞を付けることができる。 bit, [kmgt]bit, [KMGT]ibit, Bps, [KMGT]Bps, [KMGT]iBps
-が使用できる。
-.PP
-例: この機能を、データコネクションの開始時に利用可能帯域に基づいて、 FTP サーバーからの出力データコネクションを 2
-つの回線に振り分けるのに使用する場合。
-.PP
-# 出力レートを推定する
-.PP
-iptables \-t mangle \-A POSTROUTING \-o eth0 \-j RATEEST \-\-rateest\-name eth0
-\-\-rateest\-interval 250ms \-\-rateest\-ewma 0.5s
-.PP
-iptables \-t mangle \-A POSTROUTING \-o ppp0 \-j RATEEST \-\-rateest\-name ppp0
-\-\-rateest\-interval 250ms \-\-rateest\-ewma 0.5s
-.PP
-# 利用可能帯域に基づいてマーキングを行う
-.PP
-iptables \-t mangle \-A balance \-m conntrack \-\-ctstate NEW \-m helper \-\-helper
-ftp \-m rateest \-\-rateest\-delta \-\-rateest1 eth0 \-\-rateest\-bps1 2.5mbit
-\-\-rateest\-gt \-\-rateest2 ppp0 \-\-rateest\-bps2 2mbit \-j CONNMARK \-\-set\-mark 1
-.PP
-iptables \-t mangle \-A balance \-m conntrack \-\-ctstate NEW \-m helper \-\-helper
-ftp \-m rateest \-\-rateest\-delta \-\-rateest1 ppp0 \-\-rateest\-bps1 2mbit
-\-\-rateest\-gt \-\-rateest2 eth0 \-\-rateest\-bps2 2.5mbit \-j CONNMARK \-\-set\-mark 2
-.PP
-iptables \-t mangle \-A balance \-j CONNMARK \-\-restore\-mark
-.SS "realm (IPv4 の場合)"
-This matches the routing realm. Routing realms are used in complex routing
-setups involving dynamic routing protocols like BGP.
-.TP
-[\fB!\fP] \fB\-\-realm\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Matches a given realm number (and optionally mask). If not a number, value
-can be a named realm from /etc/iproute2/rt_realms (mask can not be used in
-that case).
-.SS recent
-IP アドレスのリストを動的に作成し、このリストに対するマッチングをいくつかの方法で行う。
-.PP
-例えば、 あなたのファイアウォールの 139 番ポートに接続しようとした「悪ガキ」リストを作成し、
-そのアドレスからのこれ以降のすべてのパケットを「廃棄」する。
-.PP
-\fB\-\-set\fP, \fB\-\-rcheck\fP, \fB\-\-update\fP, \fB\-\-remove\fP は同時に使用できない。
-.TP
-\fB\-\-name\fP \fIname\fP
-コマンドで使用するリストを指定する。名前が指定されなかった場合 \fBDEFAULT\fP が使用される。
-.TP
-[\fB!\fP] \fB\-\-set\fP
-リストにパケットの送信元アドレスを追加する。 その送信元アドレスがすでにリストにある場合は、既存のエントリーを更新する。 常に成功を返す (\fB!\fP
-が指定されている場合は常に失敗を返す)。
-.TP
-\fB\-\-rsource\fP
-recent リストのテーブルの照合/保存で、各パケットの送信元アドレスを使う。 これがデフォルトである。
-.TP
-\fB\-\-rdest\fP
-recent リストのテーブルの照合/保存で、各パケットの宛先アドレスを使う。
-.TP
-\fB\-\-mask\fP \fInetmask\fP
-この recent リストに適用するネットマスク。
-.TP
-[\fB!\fP] \fB\-\-rcheck\fP
-このパケットの送信元アドレスが現在リストに含まれるかをチェックする。
-.TP
-[\fB!\fP] \fB\-\-update\fP
-\fB\-\-rcheck\fP と同じだが、 このオプションではマッチした場合に "last seen" タイムスタンプを更新する。
-.TP
-[\fB!\fP] \fB\-\-remove\fP
-パケットの送信元アドレスが現在リストに含まれているかをチェックし、 含まれている場合、そのアドレスをリストから削除し、ルールは true を返す。
-アドレスが含まれない場合、false を返す。
-.TP
-\fB\-\-seconds\fP \fIseconds\fP
-このオプションは \fB\-\-rcheck\fP か \fB\-\-update\fP との組み合わせでのみ使用できる。 使用された場合、
-アドレスがリストに含まれ、かつそのアドレスが直近の指定された秒数以内に観測された場合にのみ、 マッチするようになる。
-.TP
-\fB\-\-reap\fP
-このオプションは \fB\-\-seconds\fP との組み合わせでのみ使用できる。 使用された場合、 最後に指定された秒数より古いエントリーを破棄する。
-.TP
-\fB\-\-hitcount\fP \fIhits\fP
-このオプションは \fB\-\-rcheck\fP か \fB\-\-update\fP との組み合わせて使用しなければならない。 使用された場合、
-アドレスがリストに含まれ、受信されたパケット数が指定した値以上の場合にのみマッチするようになる。 このオプションは \fB\-\-seconds\fP
-と共に使用することもでき、 その場合は指定された時間内のヒット数に対して照合を行う。 hitcount パラメータの最大値は xt_recent
-カーネルモードの "ip_pkt_list_tot" パラメータで規定される。
-このコマンドリストでこの値よりも大きな値を指定すると、そのルールは拒否される。
-.TP
-\fB\-\-rttl\fP
-このオプションは \fB\-\-rcheck\fP か \fB\-\-update\fP との組み合わせでのみ使用できる。 使用された場合、
-アドレスがリストに含まれ、かつ現在のパケットの TTL が \fB\-\-set\fP ルールにヒットしたパケットの TTL
-にマッチする場合にのみマッチするようになる。 このオプションは、
-送信元アドレスを偽装する人が偽りのパケットを送信して、このモジュールを使ってあなたのサイトへの他のアクセスができないようにする DoS
-攻撃がある場合などに役に立つかもしれない。
-.PP
-例:
-.IP
-iptables \-A FORWARD \-m recent \-\-name badguy \-\-rcheck \-\-seconds 60 \-j DROP
-.IP
-iptables \-A FORWARD \-p tcp \-i eth0 \-\-dport 139 \-m recent \-\-name badguy \-\-set
-\-j DROP
-.PP
-\fB/proc/net/xt_recent/*\fP は現在のアドレスのリストと各リストの各エントリーの情報である。
-.PP
-\fB/proc/net/xt_recent/\fP の各ファイルは、読み出して現在のリストを確認することができる。 また、以下のコマンドを使って、
-これらのファイルに書き込んでリストを変更することができる。
-.TP
-\fBecho +\fP\fIaddr\fP\fB >/proc/net/xt_recent/DEFAULT\fP
-DEFAULT リストに \fIaddr\fP を追加する
-.TP
-\fBecho \-\fP\fIaddr\fP\fB >/proc/net/xt_recent/DEFAULT\fP
-DEFAULT リストから \fIaddr\fP を削除する
-.TP
-\fBecho / >/proc/net/xt_recent/DEFAULT\fP
-DEFAULT リストをフラッシュ (全エントリーを削除) する
-.PP
-モジュール自体もパラメーターを取り、デフォルトは以下の通りである。
-.TP
-\fBip_list_tot\fP=\fI100\fP
-テーブル単位の記録アドレス数。
-.TP
-\fBip_pkt_list_tot\fP=\fI20\fP
-アドレス単位の記録パケット数。
-.TP
-\fBip_list_hash_size\fP=\fI0\fP
-ハッシュテーブルサイズ。 0 は ip_list_tot に基づいて計算することを意味する。 デフォルトは 512。
-.TP
-\fBip_list_perms\fP=\fI0644\fP
-/proc/net/xt_recent/* ファイルのアクセス許可モード。
-.TP
-\fBip_list_uid\fP=\fI0\fP
-/proc/net/xt_recent/* ファイルの数値 ID での所有者。
-.TP
-\fBip_list_gid\fP=\fI0\fP
-/proc/net/xt_recent/* ファイルの数値 ID でのグループ所有者。
-.SS rpfilter
-パケットに対して reverse path フィルターテストを行う。
-パケットに対する応答がパケットが到着したインターフェースと同じインターフェースから送信される場合、そのパケットにマッチする。 カーネル内の
-rp_filter と異なり、 IPsec で保護されたパケットが特別扱いされない点に注意すること。
-必要な場合は、このマッチをポリシーマッチと組み合わせて使うこと。 また、ループバックインターフェース経由で到着したパケットは常に許可される。
-このマッチは raw テーブルまたは mangle テーブルの PREROUTING チェインでのみ使用できる。
-.TP
-\fB\-\-loose\fP
-選択された出力デバイスが期待されたものではない場合であっても、 reverse path フィルターテストのマッチを行うことを指示する。
-.TP
-\fB\-\-validmark\fP
-reverse path の経路検索実行時にそのパケットの nfmark 値も使用する。
-.TP
-\fB\-\-accept\-local\fP
-ローカルマシンにも割り当てられている送信元アドレスを持つネットワークから到着したパケットを許可する。
-.TP
-\fB\-\-invert\fP
-マッチの意味を逆にする。 reverse path フィルターテストに合格したパケットにマッチするのではなく、テストに失敗したパケットにマッチする。
-.PP
-reverse path フィルターテストに失敗したパケットをロギングし破棄する例
-
-iptables \-t raw \-N RPFILTER
-
-iptables \-t raw \-A RPFILTER \-m rpfilter \-j RETURN
-
-iptables \-t raw \-A RPFILTER \-m limit \-\-limit 10/minute \-j NFLOG
-\-\-nflog\-prefix "rpfilter drop"
-
-iptables \-t raw \-A RPFILTER \-j DROP
-
-iptables \-t raw \-A PREROUTING \-j RPFILTER
-
-失敗したパケットをドロップするが、ロギングを行わない例
-
-iptables \-t raw \-A RPFILTER \-m rpfilter \-\-invert \-j DROP
-.SS "rt (IPv6 のみ)"
-IPv6 ルーティングヘッダーに対してマッチする。
-.TP
-[\fB!\fP] \fB\-\-rt\-type\fP \fItype\fP
-指定したタイプ (数値) にマッチする。
-.TP
-[\fB!\fP] \fB\-\-rt\-segsleft\fP \fInum\fP[\fB:\fP\fInum\fP]
-`segments left' フィールド (範囲) にマッチする。
-.TP
-[\fB!\fP] \fB\-\-rt\-len\fP \fIlength\fP
-このヘッダーの長さにマッチする。
-.TP
-\fB\-\-rt\-0\-res\fP
-予約フィールド (type=0) にもマッチする。
-.TP
-\fB\-\-rt\-0\-addrs\fP \fIaddr\fP[\fB,\fP\fIaddr\fP...]
-type=0 のアドレス (リスト) にマッチする。
-.TP
-\fB\-\-rt\-0\-not\-strict\fP
-type=0 のアドレスのリストは厳密なリストではない。
-.SS sctp
-.TP
-[\fB!\fP] \fB\-\-source\-port\fP,\fB\-\-sport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-destination\-port\fP,\fB\-\-dport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-chunk\-types\fP {\fBall\fP|\fBany\fP|\fBonly\fP} \fIchunktype\fP[\fB:\fP\fIflags\fP] [...]
-大文字のフラグ文字はそのフラグがセットされている場合にマッチし、 小文字のフラグ文字はセットされていない場合にマッチすることを指示する。
-
-チャンク種別: DATA INIT INIT_ACK SACK HEARTBEAT HEARTBEAT_ACK ABORT SHUTDOWN
-SHUTDOWN_ACK ERROR COOKIE_ECHO COOKIE_ACK ECN_ECNE ECN_CWR SHUTDOWN_COMPLETE
-ASCONF ASCONF_ACK FORWARD_TSN
-
-チャンク種別で利用可能なフラグ
-.br
-DATA I U B E i u b e
-.br
-ABORT T t
-.br
-SHUTDOWN_COMPLETE T t
-
-(小文字はフラグを「オフ」にすることを、大文字は「オン」にすることを意味する)
-.P
-例:
-
-iptables \-A INPUT \-p sctp \-\-dport 80 \-j DROP
-
-iptables \-A INPUT \-p sctp \-\-chunk\-types any DATA,INIT \-j DROP
-
-iptables \-A INPUT \-p sctp \-\-chunk\-types any DATA:Be \-j ACCEPT
-.SS set
-このモジュールは \fBipsec\fP(8) で定義できる IP 集合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-match\-set\fP \fIsetname\fP \fIflag\fP[\fB,\fP\fIflag\fP]...
-where flags are the comma separated list of \fBsrc\fP and/or \fBdst\fP
-specifications and there can be no more than six of them. Hence the command
-.IP
- iptables \-A FORWARD \-m set \-\-match\-set test src,dst
-.IP
-will match packets, for which (if the set type is ipportmap) the source
-address and destination port pair can be found in the specified set. If the
-set type of the specified set is single dimension (for example ipmap), then
-the command will match packets for which the source address can be found in
-the specified set.
-.TP
-\fB\-\-return\-nomatch\fP
-If the \fB\-\-return\-nomatch\fP option is specified and the set type supports the
-\fBnomatch\fP flag, then the matching is reversed: a match with an element
-flagged with \fBnomatch\fP returns \fBtrue\fP, while a match with a plain element
-returns \fBfalse\fP.
-.TP
-\fB!\fP \fB\-\-update\-counters\fP
-If the \fB\-\-update\-counters\fP flag is negated, then the packet and byte
-counters of the matching element in the set won't be updated. Default the
-packet and byte counters are updated.
-.TP
-\fB!\fP \fB\-\-update\-subcounters\fP
-If the \fB\-\-update\-subcounters\fP flag is negated, then the packet and byte
-counters of the matching element in the member set of a list type of set
-won't be updated. Default the packet and byte counters are updated.
-.TP
-[\fB!\fP] \fB\-\-packets\-eq\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the packet
-counter of the element matches the given value too.
-.TP
-\fB\-\-packets\-lt\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the packet
-counter of the element is less than the given value as well.
-.TP
-\fB\-\-packets\-gt\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the packet
-counter of the element is greater than the given value as well.
-.TP
-[\fB!\fP] \fB\-bytes\-eq\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the byte
-counter of the element matches the given value too.
-.TP
-\fB\-\-bytes\-lt\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the byte
-counter of the element is less than the given value as well.
-.TP
-\fB\-\-bytes\-gt\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the byte
-counter of the element is greater than the given value as well.
-.PP
-The packet and byte counters related options and flags are ignored when the
-set was defined without counter support.
-.PP
-The option \fB\-\-match\-set\fP can be replaced by \fB\-\-set\fP if that does not clash
-with an option of other extensions.
-.PP
-Use of \-m set requires that ipset kernel support is provided, which, for
-standard kernels, is the case since Linux 2.6.39.
-.SS socket
-This matches if an open TCP/UDP socket can be found by doing a socket lookup
-on the packet. It matches if there is an established or non\-zero bound
-listening socket (possibly with a non\-local address). The lookup is
-performed using the \fBpacket\fP tuple of TCP/UDP packets, or the original
-TCP/UDP header \fBembedded\fP in an ICMP/ICPMv6 error packet.
-.TP
-\fB\-\-transparent\fP
-非透過 (non\-transparent) ソケットを無視する。
-.TP
-\fB\-\-nowildcard\fP
-Do not ignore sockets bound to 'any' address. The socket match won't accept
-zero\-bound listeners by default, since then local services could intercept
-traffic that would otherwise be forwarded. This option therefore has
-security implications when used to match traffic being forwarded to redirect
-such packets to local machine with policy routing. When using the socket
-match to implement fully transparent proxies bound to non\-local addresses it
-is recommended to use the \-\-transparent option instead.
-.PP
-Example (assuming packets with mark 1 are delivered locally):
-.IP
-\-t mangle \-A PREROUTING \-m socket \-\-transparent \-j MARK \-\-set\-mark 1
-.SS state
-"state" 拡張は "conntrack" モジュールのサブセットである。 "state" を使うと、
-パケットについてのコネクション追跡状態を参照できる。
-.TP
-[\fB!\fP] \fB\-\-state\fP \fIstate\fP
-state はマッチするコネクション状態のカンマ区切りのリストである。 "conntrack" が理解できる状態の一部だけが指定できる。 指定できるのは
-\fBINVALID\fP, \fBESTABLISHED\fP, \fBNEW\fP, \fBRELATED\fP, \fBUNTRACKED\fP である。
-これらの説明はこのマニュアルページの "conntrack" の説明を参照のこと。
-.SS statistic
-このモジュールは統計的な条件に基づいたパケットのマッチングを行う。 二つのモードがサポートされており、 \fB\-\-mode\fP オプションで設定できる。
-.PP
-サポートされているオプション:
-.TP
-\fB\-\-mode\fP \fImode\fP
-マッチングルールのマッチングモードを設定する。 サポートされているモードは \fBrandom\fP と \fBnth\fP である。
-.TP
-[\fB!\fP] \fB\-\-probability\fP \fIp\fP
-ランダムにパケットがマッチする確率を設定する。 \fBrandom\fP モードでのみ機能する。 \fIp\fP は 0.0 と 1.0 の範囲でなければならない。
-サポートされている粒度は 1/2147483648 である。
-.TP
-[\fB!\fP] \fB\-\-every\fP \fIn\fP
-n パケットに 1 つマッチする。 \fBnth\fP モードでのみ機能する (\fB\-\-packet\fP オプションも参照)。
-.TP
-\fB\-\-packet\fP \fIp\fP
-\fBnth\fP モードでカウンターの初期値を設定する (0 <= p <= n\-1, デフォルトは 0)。
-.SS string
-このモジュールは、いくつかのパターンマッチ手法を用いて指定された文字列とのマッチを行う。 Linux カーネル 2.6.14 以上が必要である。
-.TP
-\fB\-\-algo\fP {\fBbm\fP|\fBkmp\fP}
-パターンマッチング手法を選択する (bm = Boyer\-Moore, kmp = Knuth\-Pratt\-Morris)
-.TP
-\fB\-\-from\fP \fIoffset\fP
-マッチングの検索を開始するオフセットを設定する。 指定されなかった場合のデフォルトは 0 である。
-.TP
-\fB\-\-to\fP \fIoffset\fP
-検索を終了するオフセットを設定する。 バイト \fIoffset\fP\-1 (バイト番号は 0 から開始) が検索範囲の最終バイトとなる。
-指定されなかった場合、デフォルトはパケットサイズである。
-.TP
-[\fB!\fP] \fB\-\-string\fP \fIpattern\fP
-指定されたパターンにマッチする。
-.TP
-[\fB!\fP] \fB\-\-hex\-string\fP \fIpattern\fP
-指定された 16 進表記のパターンにマッチする。
-.TP
-例:
-.IP
-# 文字列パターンは単純なテキスト文字を探すのに使用できる。
-.br
-iptables \-A INPUT \-p tcp \-\-dport 80 \-m string \-\-algo bm \-\-string 'GET
-/index.html' \-j LOG
-.IP
-16 進数文字列のパターンは表示可能文字以外を検索するのに使用できる。 |0D 0A| や |0D0A| など。
-.br
-iptables \-p udp \-\-dport 53 \-m string \-\-algo bm \-\-from 40 \-\-to 57
-\-\-hex\-string '|03|www|09|netfilter|03|org|00|'
-.SS tcp
-これらの拡張は `\-\-protocol tcp' が指定され場合に使用できる。 以下のオプションが提供される:
-.TP
-[\fB!\fP] \fB\-\-source\-port\fP,\fB\-\-sport\fP \fIport\fP[\fB:\fP\fIport\fP]
-送信元ポートまたはポート範囲の指定。 サービス名またはポート番号を指定できる。 \fIfirst\fP\fB:\fP\fIlast\fP という形式で、 2
-つの番号を含む範囲を指定することもできる。 最初のポートを省略した場合、 "0" を仮定する。 最後のポートを省略した場合、 "65535"
-を仮定する。 最初のポートが最後のポートより大きい場合、 2 つは入れ換えられる。 フラグ \fB\-\-sport\fP は、
-このオプションの便利な別名である。
-.TP
-[\fB!\fP] \fB\-\-destination\-port\fP,\fB\-\-dport\fP \fIport\fP[\fB:\fP\fIport\fP]
-宛先ポートまたはポート範囲の指定。 フラグ \fB\-\-dport\fP は、 このオプションの便利な別名である。
-.TP
-[\fB!\fP] \fB\-\-tcp\-flags\fP \fImask\fP \fIcomp\fP
-TCP フラグが指定されたものと等しい場合にマッチする。 第 1 引き数 \fImask\fP は評価対象とするフラグで、 コンマ区切りのリストである。 第
-2 引き数 \fIcomp\fP は必ず設定しなければならないフラグで、 コンマ区切りのリストである。 指定できるフラグは \fBSYN ACK FIN RST
-URG PSH ALL NONE\fP である。 よって、 コマンド
-.nf
- iptables \-A FORWARD \-p tcp \-\-tcp\-flags SYN,ACK,FIN,RST SYN
-.fi
-は、 SYN フラグが設定され ACK, FIN, RST フラグが設定されていない パケットにのみマッチする。
-.TP
-[\fB!\fP] \fB\-\-syn\fP
-SYN ビットが設定され ACK, RST, FIN ビットがクリアされている TCP パケットにのみマッチする。 このようなパケットは TCP
-コネクションの開始要求に使われる。 例えば、 あるインターフェースに入ってくるこのようなパケットをブロックすれば、 内側への TCP
-コネクションは禁止されるが、 外側への TCP コネクションには影響しない。 これは \fB\-\-tcp\-flags SYN,RST,ACK,FIN
-SYN\fP と等しい。 "\-\-syn" の前に "!" フラグ
-を置くと、 SYN ビットがクリアされ ACK と RST ビットが設定されている
-TCP パケットにのみマッチする。
-.TP
-[\fB!\fP] \fB\-\-tcp\-option\fP \fInumber\fP
-TCP オプションが設定されている場合にマッチする。
-.SS tcpmss
-TCP ヘッダーの TCP MSS (maximum segment size) フィールドにマッチする。 TCP の SYN パケットか
-SYN/ACK パケットに対してのみ利用できる。 MSS のネゴシエーションはコネクション開始時の TCP ハンドシェイク中だけだからである。
-.TP
-[\fB!\fP] \fB\-\-mss\fP \fIvalue\fP[\fB:\fP\fIvalue\fP]
-指定された TCP MSS 値か範囲にマッチする。
-.SS time
-このモジュールはパケットの到着時刻/日付が指定された範囲内の場合にマッチする。 すべてのオプションが任意オプションで、 複数指定した場合は AND
-と解釈される。 デフォルトではすべての時刻は UTC と解釈される。
-.TP
-\fB\-\-datestart\fP \fIYYYY\fP[\fB\-\fP\fIMM\fP[\fB\-\fP\fIDD\fP[\fBT\fP\fIhh\fP[\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]]]]]
-.TP
-\fB\-\-datestop\fP \fIYYYY\fP[\fB\-\fP\fIMM\fP[\fB\-\fP\fIDD\fP[\fBT\fP\fIhh\fP[\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]]]]]
-指定された時刻 (日付も含む) の範囲にある場合にマッチする。 時刻は ISO 8601 "T" 表記でなければならない。 指定可能な範囲は
-1970\-01\-01T00:00:00 から 2038\-01\-19T04:17:07 である。
-.IP
-\-\-datestart と \-\-datestop は、指定されなかった場合、それぞれ 1970\-01\-01 と 2038\-01\-19 とみなされます。
-.TP
-\fB\-\-timestart\fP \fIhh\fP\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]
-.TP
-\fB\-\-timestop\fP \fIhh\fP\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]
-指定された時刻 (日付は含まない) の範囲にある場合にマッチする。 指定可能な範囲は 00:00:00 から 23:59:59 である。
-("06:03" のように) 先頭に 0 を付けてもよい。 この場合も 10 進数として正しく解釈される。
-.TP
-[\fB!\fP] \fB\-\-monthdays\fP \fIday\fP[\fB,\fP\fIday\fP...]
-指定された月の日付にマッチする。 指定可能な値は \fB1\fP から \fB31\fP である。 もちろん \fB31\fP を指定した場合 31
-日がない月ではマッチしない。 同じことが 2 月 29 日についても言える。
-.TP
-[\fB!\fP] \fB\-\-weekdays\fP \fIday\fP[\fB,\fP\fIday\fP...]
-指定した曜日にマッチする。 指定可能な値は \fBMon\fP, \fBTue\fP, \fBWed\fP, \fBThu\fP, \fBFri\fP, \fBSat\fP, \fBSun\fP
-および \fB1\fP から \fB7\fP の値である。 また、2 文字の曜日指定 (\fBMo\fP, \fBTu\fP など) も使用できる。
-.TP
-\fB\-\-contiguous\fP
-\fB\-\-timestop\fP が \fB\-\-timestart\fP よりも小さい場合、複数の期間ではなく、一つの時間帯としてマッチするようにする。 例を参照。
-.TP
-\fB\-\-kerneltz\fP
-パケットが時刻指定にマッチするかを判定する際に UTC ではなくカーネルタイムゾーンを使用する。
-.PP
-About kernel timezones: Linux keeps the system time in UTC, and always does
-so. On boot, system time is initialized from a referential time
-source. Where this time source has no timezone information, such as the x86
-CMOS RTC, UTC will be assumed. If the time source is however not in UTC,
-userspace should provide the correct system time and timezone to the kernel
-once it has the information.
-.PP
-Local time is a feature on top of the (timezone independent) system
-time. Each process has its own idea of local time, specified via the TZ
-environment variable. The kernel also has its own timezone offset
-variable. The TZ userspace environment variable specifies how the UTC\-based
-system time is displayed, e.g. when you run date(1), or what you see on your
-desktop clock. The TZ string may resolve to different offsets at different
-dates, which is what enables the automatic time\-jumping in userspace. when
-DST changes. The kernel's timezone offset variable is used when it has to
-convert between non\-UTC sources, such as FAT filesystems, to UTC (since the
-latter is what the rest of the system uses).
-.PP
-The caveat with the kernel timezone is that Linux distributions may ignore
-to set the kernel timezone, and instead only set the system time. Even if a
-particular distribution does set the timezone at boot, it is usually does
-not keep the kernel timezone offset \- which is what changes on DST \- up to
-date. ntpd will not touch the kernel timezone, so running it will not
-resolve the issue. As such, one may encounter a timezone that is always
-+0000, or one that is wrong half of the time of the year. As such, \fBusing
-\-\-kerneltz is highly discouraged.\fP
-.PP
-例をいくつか。 週末にマッチさせる場合:
-.IP
-\-m time \-\-weekdays Sa,Su
-.PP
-国の祝日に (一度だけ) マッチさせる場合:
-.IP
-\-m time \-\-datestart 2007\-12\-24 \-\-datestop 2007\-12\-27
-.PP
-終了時刻も実際には含まれるので、新年の最初の 1 秒にマッチしないように終了時刻を以下のように指定する必要がある:
-.IP
-\-m time \-\-datestart 2007\-01\-01T17:00 \-\-datestop 2007\-01\-01T23:59:59
-.PP
-昼御飯の時間帯:
-.IP
-\-m time \-\-timestart 12:30 \-\-timestop 13:30
-.PP
-第 4 金曜日:
-.IP
-\-m time \-\-weekdays Fr \-\-monthdays 22,23,24,25,26,27,28
-.PP
-(これは数学的な性質を利用している点に留意すること。 一つのルールで「第 4 木曜日 または 第 4 金曜日」と指定することはできない。
-複数ルールで指定することはできるが。)
-.PP
-日をまたぐマッチングは期待するようには動かないだろう。例えば、
-.IP
-\-m time \-\-weekdays Mo \-\-timestart 23:00 \-\-timestop 01:00 は、月曜日の 0 時から午前 1 時の
-1 時間にマッチし、 その後さらに 23 時からの 1 時間にもマッチする。 これが希望通りでない場合、例えば、月曜日 23 時から 2
-時間にマッチさせたい場合は、 上記に追加で \-\-contiguous オプションも指定する必要がある。
-.SS tos
-このモジュールは IPv4 ヘッダーの 8 ビットの Type of Service フィールド (すなわち上位ビットを含まれる) もしくは IPv6
-ヘッダーの (8 ビットの) Priority フィールドにマッチする。
-.TP
-[\fB!\fP] \fB\-\-tos\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-指定された TOS マーク値を持つパケットにマッチする。 mask が指定されると、 比較の前に TOS マーク値との論理積 (AND) がとられる)。
-.TP
-[\fB!\fP] \fB\-\-tos\fP \fIsymbol\fP
-IPv4 の tos フィールドに対するマッチを指定する際にシンボル名を使うことができる。 iptables を \fB\-m tos \-h\fP
-で呼び出すと、利用可能な TOS 名の一覧を得ることができる。
-シンボル名を使った場合、 mask として 0x3F が使用される (0x3F は ECN ビット以外の全ビットである)。
-.SS "ttl (IPv4 の場合)"
-このモジュールは IP ヘッダーの time to live フィールドにマッチする。
-.TP
-[\fB!\fP] \fB\-\-ttl\-eq\fP \fIttl\fP
-指定された TTL 値にマッチする。
-.TP
-\fB\-\-ttl\-gt\fP \fIttl\fP
-TTL が指定された TTL 値より大きければマッチする。
-.TP
-\fB\-\-ttl\-lt\fP \fIttl\fP
-TTL が指定された TTL 値より小さければマッチする。
-.SS u32
-U32 は、パケットから最大 4 バイトの数値を取り出して、指定した値を持つかの検査を行う。 どこを取り出すかの指定は汎用的になっており、TCP
-ヘッダーやペイロードから指定したオフセットのデータを取り出すことができる。
-.TP
-[\fB!\fP] \fB\-\-u32\fP \fItests\fP
-引き数は、以下で説明する小さな言語のプログラムになる。
-.IP
-tests := location "=" value | tests "&&" location "=" value
-.IP
-value := range | value "," range
-.IP
-range := number | number ":" number
-.PP
-数字 1 個 \fIn\fP は \fIn:n\fP と同じものと解釈される。 \fIn:m\fP は \fB>=n\fP かつ \fB<=m\fP
-の範囲の数字と解釈される。
-.IP "" 4
-location := number | location operator number
-.IP "" 4
-operator := "&" | "<<" | ">>" | "@"
-.PP
-オペレーター \fB&\fP, \fB<<\fP, \fB>>\fP, \fB&&\fP は C と同じ意味である。 \fB=\fP
-は集合の所属を検査するオペレーターで、値は集合として記述する。 \fB@\fP オペレーターは、次のヘッダーへの移動に使うオペレーターで、後で詳しく説明する。
-.PP
-現在のところ、テストの大きさにはいくつか実装から来る制約がある。
-.IP " *"
-u32 引き数あたりの "\fB=\fP" は最大 10 個まで ("\fB&&\fP" は 9 個まで)
-.IP " *"
-value あたりの range は 10 個まで (カンマは 9 個まで)
-.IP " *"
-一つの location あたりの number は最大 10 個まで (operator は 9 個まで)
-.PP
-location の意味を説明するために、 location を解釈する以下のようなマシンを考えてみる。 3 つのレジスターがある。
-.IP
-A は \fBchar *\fP 型で、最初は IP ヘッダーのアドレスが入っている。
-.IP
-B と C は 32 ビット整数で、最初は 0 である。
-.PP
-命令は以下の通り。
-.IP
-number B = number;
-.IP
-C = (*(A+B)<<24) + (*(A+B+1)<<16) + (*(A+B+2)<<8) +
-*(A+B+3)
-.IP
-&number C = C & number
-.IP
-<< number C = C << number
-.IP
->> number C = C >> number
-.IP
-@number A = A + C; この後、命令の数字を実行する
-.PP
-[skb\->data,skb\->end] 以外へのメモリアクセスはすべてマッチ失敗となる。 それ以外の場合、計算の結果が C
-の最終的な値となる。
-.PP
-ホワイトスペースを入れることはできるが、テストでは必須ではない。 しただし、テストに含まれる文字はシェルでのクォートが必要な場合もよくあるので、
-引き数全体をクォートで囲んでおくとよいだろう。
-.PP
-例:
-.IP
-トータル長が 256 以上の IP パケットにマッチする
-.IP
-IP ヘッダーではバイト 2\-3 にトータル長フィールドがある。
-.IP
-\-\-u32 "\fB0 & 0xFFFF = 0x100:0xFFFF\fP"
-.IP
-バイト 0\-3 を読み出し、
-.IP
-0xFFFF (バイト 2\-3 に対応) の論理積 (AND) を取り、 その値が範囲 [0x100:0xFFFF] にあるか検査する。
-.PP
-例: (もっと実用的な、したがってもっと複雑な例)
-.IP
-ICMP タイプが 0 の ICMP パケットにマッチする
-.IP
-まず ICMP パケットかどうか検査する。 バイト 9 (プロトコル) = 1 であれば真。
-.IP
-\-\-u32 "\fB6 & 0xFF = 1 &&\fP ...
-.IP
-バイト 6\-9 を読み出し、 \fB&\fP を使ってバイト 6\-8 を取り除き、 得られた値を 1 と比較する。 次に、フラグメントではないことを検査する
-(フラグメントの場合、パケットは ICMP パケットの一部かもしれないが、 常にそうだとは言えない)。 \fB注意\fP: 一般的に IP
-ヘッダーより先にあるものとマッチを行う場合にはこの検査は必要である。 このパケットが (フラグメントではない) 完全なパケットであれば、バイト 6
-の最後の 6 ビットとバイト 7 の全ビットが 0 である。 代わりに、 バイト 6 の最後の 5
-ビットを検査するだけで最初のフラグメントを許可することができる。
-.IP
-\&... \fB4 & 0x3FFF = 0 &&\fP ...
-.IP
-最後の検査として、 IP ヘッダー直後のバイト (ICMP タイプ) が 0 かを確認する。 ここで @ 記法を使う必要がある。 IP ヘッダーの長さ
-(IHL) は IP ヘッダー自身のバイト 0 の右半分に 32 ビットワードで格納されている。
-.IP
-\&... \fB0 >> 22 & 0x3C @ 0 >> 24 = 0\fP"
-.IP
-最初の 0 はバイト 0\-3 を読み出し、 \fB>>22\fP はその値を 22 ビット右にシフトすることを意味する。 24
-ビットシフトすると最初のバイトが得られるので、 22 ビットだけシフトすると (少し余計なビットが付いているが) その 4 倍の値が得られる。
-\fB&3C\fP で右側の余計な 2 ビットと最初のバイトの先頭 4 ビットを取り除く。 例えば、 IHL が 5 の場合 IP ヘッダーは 20 バイト
-(4 x 5) である。 この場合、バイト 0\-1 は (バイナリで) xxxx0101 yyzzzzzz であり、 \fB>>22\fP
-により 10 ビットの値 xxxx0101yy が得られ、 \fB&3C\fP で 010100 が得られる。 \fB@\fP
-は、この数字をパケットの新しいオフセットとして使用し、 この地点から始まる 4 バイトを読み出すことを意味する。 この 4 バイトは ICMP
-ペイロードの最初の 4 バイトであり、 バイト 0 が ICMP タイプである。 したがって、この値を 24
-ビット右にシフトして、最初のバイト以外をすべて取り除き、 その結果を 0 と比較するだけでよい。
-.PP
-例:
-.IP
-TCP ペイロードのバイト 8\-12 が 1, 2, 5, 8 のいずれかかを検査する
-.IP
-まず、パケットが TCP パケットであるかを検査する (ICMP と同様)。
-.IP
-\-\-u32 "\fB6 & 0xFF = 6 &&\fP ...
-.IP
-次に、フラグメントでないことを検査する (上記と同じ)。
-.IP
-\&... \fB0 >> 22 & 0x3C @ 12 >> 26 & 0x3C @ 8 = 1,2,5,8\fP"
-.IP
-上で説明した通り \fB0>>22&3C\fP で IP ヘッダーのバイト数を計算する。 \fB@\fP
-でこの値をパケットの新しいオフセットとし、これは TCP ヘッダーの先頭である。 TCP ヘッダー長 (これも 32 ビットワード) は TCP
-ヘッダーのバイト 12 の左半分にある。 \fB12>>26&3C\fP で TCP ヘッダーのバイト数を計算する (IP
-ヘッダーの場合と同様)。 "@" を使ってこれを新しいオフセットに設定する。この時点で TCP ペイロードの先頭を指している。 最後に、8
-でペイロードのバイト 8\-12 を読み出し、 \fB=\fP を使って取り出した値が 1, 2, 5, 8 のいずれかであるかチェックする。
-.SS udp
-これらの拡張は `\-\-protocol udp' が指定された場合に利用できる。 以下のオプションが提供される。
-.TP
-[\fB!\fP] \fB\-\-source\-port\fP,\fB\-\-sport\fP \fIport\fP[\fB:\fP\fIport\fP]
-送信元ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-source\-port\fP オプションの説明を参照すること。
-.TP
-[\fB!\fP] \fB\-\-destination\-port\fP,\fB\-\-dport\fP \fIport\fP[\fB:\fP\fIport\fP]
-宛先ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-destination\-port\fP オプションの説明を参照すること。
-.SS "unclean (IPv4 の場合)"
-このモジュールにはオプションがないが、 おかしく正常でないように見えるパケットにマッチする。 これは実験的なものとして扱われている。
-.SH ターゲットの拡張
-.\" @TARGET@
-iptables は拡張ターゲットモジュールを使うことができる: 以下のものが、 標準的なディストリビューションに含まれている。
-.SS AUDIT
-このターゲットを使うと、このターゲットにヒットしたパケットに対する監査 (audit) レコードを作成することができる。
-許可/廃棄/拒否されたパケットを記録するのに使用できる。 詳細については auditd(8) を参照。
-.TP
-\fB\-\-type\fP {\fBaccept\fP|\fBdrop\fP|\fBreject\fP}
-監査レコード種別を設定する。
-.PP
-例:
-.IP
-iptables \-N AUDIT_DROP
-.IP
-iptables \-A AUDIT_DROP \-j AUDIT \-\-type drop
-.IP
-iptables \-A AUDIT_DROP \-j DROP
-.SS CHECKSUM
-このターゲットは、 おかしいアプリケーションや古いアプリケーションに対する選択的な対処を可能にする。 mangle テーブルでのみ使用できる。
-.TP
-\fB\-\-checksum\-fill\fP
-Compute and fill in the checksum in a packet that lacks a checksum. This is
-particularly useful, if you need to work around old applications such as
-dhcp clients, that do not work well with checksum offloads, but don't want
-to disable checksum offload in your device.
-.SS CLASSIFY
-このモジュールを使うと skb\->priority の値を設定できる (その結果、そのパケットを特定の CBQ クラスに分類できる)。
-.TP
-\fB\-\-set\-class\fP \fImajor\fP\fB:\fP\fIminor\fP
-メジャークラスとマイナークラスの値を設定する。値は常に 16 進数として解釈される。 0x が前に付いていない場合であっても 16 進数と解釈される。
-.SS "CLUSTERIP (IPv4 の場合)"
-このモジュールを使うと、 ノードの前段に明示的に負荷分散装置を置かずに、 特定の IP アドレスと MAC
-アドレスを共有するノードの簡単なクラスターを構成することができる。 コネクションは、このクラスターのノード間で静的に分散される。
-.TP
-\fB\-\-new\fP
-新しい ClusterIP を作成する。 このオプションは、ここで指定する ClusterIP を使うルールの中で一番最初に設定しなければならない。
-.TP
-\fB\-\-hashmode\fP \fImode\fP
-ハッシュモードを指定する。 \fBsourceip\fP, \fBsourceip\-sourceport\fP,
-\fBsourceip\-sourceport\-destport\fP のいずれかでなければならない。
-.TP
-\fB\-\-clustermac\fP \fImac\fP
-ClusterIP の MAC アドレスを指定する。 リンク層のマルチキャストアドレスでなければならない。
-.TP
-\fB\-\-total\-nodes\fP \fInum\fP
-このクラスターの総ノード数。
-.TP
-\fB\-\-local\-node\fP \fInum\fP
-このクラスターのローカルノード番号。
-.TP
-\fB\-\-hash\-init\fP \fIrnd\fP
-ハッシュの初期化に使用される乱数シード値を指定する。
-.SS CONNMARK
-このモジュールは、 コネクションに関連付けられた netfilter の mark 値を設定する。 mark は 32 ビット幅である。
-.TP
-\fB\-\-set\-xmark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と ctmark の XOR を取る。
-.TP
-\fB\-\-save\-mark\fP [\fB\-\-nfmask\fP \fInfmask\fP] [\fB\-\-ctmask\fP \fIctmask\fP]
-指定されたマスクを使って、 パケットマーク (nfmark) をコネクションマーク (ctmark) にコピーする。 新しい ctmark
-値は以下のように決定される。
-.IP
-ctmark = (ctmark & ~ctmask) ^ (nfmark & nfmask)
-.IP
-\fIctmask\fP はどのビットをクリアするかを規定し、 \fInfmask\fP は nfmark のどのビットを ctmark と XOR
-するかを規定する。 \fIctmask\fP と \fInfmask\fP のデフォルト値は 0xFFFFFFFF である。
-.TP
-\fB\-\-restore\-mark\fP [\fB\-\-nfmask\fP \fInfmask\fP] [\fB\-\-ctmask\fP \fIctmask\fP]
-指定されたマスクを使って、 コネクションマーク (ctmark) をパケットマーク (nfmark) にコピーする。 新しい nfmark
-値は以下のように決定される。
-.IP
-nfmark = (nfmark & ~\fInfmask\fP) ^ (ctmark & \fIctmask\fP);
-.IP
-\fInfmask\fP はどのビットをクリアするかを規定し、 \fIctmask\fP は ctmark のどのビットを nfmark と XOR
-するかを規定する。 \fIctmask\fP と \fInfmask\fP のデフォルト値は 0xFFFFFFFF である。
-.IP
-\fB\-\-restore\-mark\fP は \fBmangle\fP テーブルでのみ有効である。
-.PP
-以下の簡易表現が \fB\-\-set\-xmark\fP の代わりに利用できる。
-.TP
-\fB\-\-and\-mark\fP \fIbits\fP
-ctmark と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-xmark 0/\fP\fIinvbits\fP の簡易表現、
-\fIinvbits\fP は \fIbits\fP のビット単位の否定である)。
-.TP
-\fB\-\-or\-mark\fP \fIbits\fP
-ctmark と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/\fP\fIbits\fP の簡易表現)。
-.TP
-\fB\-\-xor\-mark\fP \fIbits\fP
-ctmark と \fIbits\fP のビット XOR を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/0\fP の簡易表現)。
-.TP
-\fB\-\-set\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-コネクションマークを設定する。 mask が指定された場合、 mask で指定されたビットだけが変更される。
-.TP
-\fB\-\-save\-mark\fP [\fB\-\-mask\fP \fImask\fP]
-nfmark を ctmark へコピーする。 mask が指定された場合、そのビットだけがコピーされる。
-.TP
-\fB\-\-restore\-mark\fP [\fB\-\-mask\fP \fImask\fP]
-ctmark を nfmark にコピーする。 mask が指定されると、 指定されたビットだけがコピーされる。 \fBmangle\fP
-テーブルのみで有効である。
-.SS CONNSECMARK
-This module copies security markings from packets to connections (if
-unlabeled), and from connections back to packets (also only if unlabeled).
-Typically used in conjunction with SECMARK, it is valid in the \fBsecurity\fP
-table (for backwards compatibility with older kernels, it is also valid in
-the \fBmangle\fP table).
-.TP
-\fB\-\-save\fP
-If the packet has a security marking, copy it to the connection if the
-connection is not marked.
-.TP
-\fB\-\-restore\fP
-If the packet does not have a security marking, and the connection does,
-copy the security marking from the connection to the packet.
-
-.SS CT
-The CT target allows to set parameters for a packet or its associated
-connection. The target attaches a "template" connection tracking entry to
-the packet, which is then used by the conntrack core when initializing a new
-ct entry. This target is thus only valid in the "raw" table.
-.TP
-\fB\-\-notrack\fP
-このパケットに対するコネクション追跡を無効にする。
-.TP
-\fB\-\-helper\fP \fIname\fP
-\fIname\fP で指定されるヘルパーをこのコネクションで使用する。 この方法は、あらかじめ設定したポートに対して conntrack
-ヘルパーモジュールをロードするよりも柔軟性がある。
-.TP
-\fB\-\-ctevents\fP \fIevent\fP[\fB,\fP...]
-Only generate the specified conntrack events for this connection. Possible
-event types are: \fBnew\fP, \fBrelated\fP, \fBdestroy\fP, \fBreply\fP, \fBassured\fP,
-\fBprotoinfo\fP, \fBhelper\fP, \fBmark\fP (this refers to the ctmark, not nfmark),
-\fBnatseqinfo\fP, \fBsecmark\fP (ctsecmark).
-.TP
-\fB\-\-expevents\fP \fIevent\fP[\fB,\fP...]
-Only generate the specified expectation events for this connection.
-Possible event types are: \fBnew\fP.
-.TP
-\fB\-\-zone\fP \fIid\fP
-Assign this packet to zone \fIid\fP and only have lookups done in that zone.
-By default, packets have zone 0.
-.TP
-\fB\-\-timeout\fP \fIname\fP
-Use the timeout policy identified by \fIname\fP for the connection. This is
-provides more flexible timeout policy definition than global timeout values
-available at /proc/sys/net/netfilter/nf_conntrack_*_timeout_*.
-.SS DNAT
-このターゲットは \fBnat\fP テーブルの \fBPREROUTING\fP, \fBOUTPUT\fP チェイン、 これらのチェインから呼び出される
-ユーザー定義チェインのみで有効である。 このターゲットはパケットの宛先アドレスを修正する (このコネクションの以降のパケットも修正して分からなく
-(mangle) する)。 さらに、 ルールによるチェックを止めさせる。 このターゲットは以下のオプションを取る。
-.TP
-\fB\-\-to\-destination\fP [\fIipaddr\fP[\fB\-\fP\fIipaddr\fP]][\fB:\fP\fIport\fP[\fB\-\fP\fIport\fP]]
-1 つの新しい宛先 IP アドレス、 または IP アドレスの範囲が指定できる。 また、ルールでプロトコルとして \fBtcp\fP, \fBudp\fP,
-\fBdccp\fP, \fBsctp\fP のいずれが指定されている場合は、ポートの範囲を指定することもできる。 ポートの範囲が指定されていない場合、
-宛先ポートは変更されない。 IP アドレスが指定されなかった場合は、 宛先ポートだけが変更される。 2.6.10 以前のカーネルでは、 複数の
-\-\-to\-destination オプションを指定することができる。 これらのカーネルでは、 アドレスの範囲指定や \-\-to\-destination
-オプションの複数回指定により 2 つ以上の宛先アドレスを指定した場合、 それらのアドレスを使った単純なラウンドロビンによる負荷分散が行われる。
-それ以降のカーネル (>= 2.6.11\-rc1) には複数の範囲を NAT する機能は存在しない。
-.TP
-\fB\-\-random\fP
-\fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.22 以降)。
-.TP
-\fB\-\-persistent\fP
-クライアントの各コネクションに同じ送信元アドレス/宛先アドレスを割り当てる。 これは SAME ターゲットよりも優先される。 persistent
-マッピングのサポートは 2.6.29\-rc2 以降で利用可能である。
-.TP
-IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
-.SS "DNPT (IPv6 のみ)"
-(RFC 6296 で説明されている) ステートレス IPv6\-to\-IPv6 宛先ネットワークプレフィックス変換を提供する。
-.PP
-このターゲットは \fBnat\fP テーブルではなく \fBmangle\fP テーブルで使わなければならない。 以下のオプションを取る。
-.TP
-\fB\-\-src\-pfx\fP [\fIprefix/\fP\fIlength]\fP
-変換を行う送信元プレフィックスとその長さを設定する。
-.TP
-\fB\-\-dst\-pfx\fP [\fIprefix/\fP\fIlength]\fP
-変換を行う宛先プレフィックスとその長さを設定する。
-.PP
-変換を取り消すには SNPT ターゲットを使わなければならない。 例:
-.IP
-ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0 \-j SNPT
-\-\-src\-pfx fd00::/64 \-\-dst\-pfx 2001:e20:2000:40f::/64
-.IP
-ip6tables \-t mangle \-I PREROUTING \-i wlan0 \-d 2001:e20:2000:40f::/64 \-j DNPT
-\-\-src\-pfx 2001:e20:2000:40f::/64 \-\-dst\-pfx fd00::/64
-.PP
-IPv6 neighbor proxy を有効にする必要があるかもしれない。
-.IP
-sysctl \-w net.ipv6.conf.all.proxy_ndp=1
-.PP
-また、変換されたフローに対するコネクション追跡を無効にするには \fBNOTRACK\fP ターゲットを使用する必要がある。
-.SS DSCP
-このターゲットは、 IPv4 パケットの TOS ヘッダーにある DSCP ビットの値の書き換えを可能にする。 これはパケットを操作するので、
-mangle テーブルでのみ使用できる。
-.TP
-\fB\-\-set\-dscp\fP \fIvalue\fP
-DSCP フィールドの数値を設定する (10 進または 16 進)。
-.TP
-\fB\-\-set\-dscp\-class\fP \fIclass\fP
-DSCP フィールドの DiffServ クラスを設定する。
-.SS "ECN (IPv4 の場合)"
-このターゲットは ECN ブラックホール問題への対処を可能にする。 mangle テーブルでのみ使用できる。
-.TP
-\fB\-\-ecn\-tcp\-remove\fP
-TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。 当然、 \fB\-p tcp\fP
-オプションとの組合わせでのみ使用できる。
-.SS "HL (IPv6 のみ)"
-このターゲットを使うと IPv6 ヘッダーの Hop Limit フィールドを変更することができる。 Hop Limit フィールドは IPv4 の
-TTL 値と同じようなものである。 Hop Limit フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。
-したがって、可能な限り避けるべきである。 このターゲットは \fBmangle\fP テーブルでのみ有効である。
-.PP
-\fB決してローカルネットワーク内に留まるパケットのフィールド値を設定したり増やしたりしないこと!\fP
-.TP
-\fB\-\-hl\-set\fP \fIvalue\fP
-Hop Limit を `value' に設定する。
-.TP
-\fB\-\-hl\-dec\fP \fIvalue\fP
-Hop Limit を `value' 回減算する。
-.TP
-\fB\-\-hl\-inc\fP \fIvalue\fP
-Hop Limit を `value' 回加算する。
-.SS HMARK
-Like MARK, i.e. set the fwmark, but the mark is calculated from hashing
-packet selector at choice. You have also to specify the mark range and,
-optionally, the offset to start from. ICMP error messages are inspected and
-used to calculate the hashing.
-.PP
-Existing options are:
-.TP
-\fB\-\-hmark\-tuple\fP tuple
-Possible tuple members are: \fBsrc\fP meaning source address (IPv4, IPv6
-address), \fBdst\fP meaning destination address (IPv4, IPv6 address), \fBsport\fP
-meaning source port (TCP, UDP, UDPlite, SCTP, DCCP), \fBdport\fP meaning
-destination port (TCP, UDP, UDPlite, SCTP, DCCP), \fBspi\fP meaning Security
-Parameter Index (AH, ESP), and \fBct\fP meaning the usage of the conntrack
-tuple instead of the packet selectors.
-.TP
-\fB\-\-hmark\-mod\fP \fIvalue (must be > 0)\fP
-Modulus for hash calculation (to limit the range of possible marks)
-.TP
-\fB\-\-hmark\-offset\fP \fIvalue\fP
-Offset to start marks from.
-.TP
-For advanced usage, instead of using \-\-hmark\-tuple, you can specify custom
-prefixes and masks:
-.TP
-\fB\-\-hmark\-src\-prefix\fP \fIcidr\fP
-The source address mask in CIDR notation.
-.TP
-\fB\-\-hmark\-dst\-prefix\fP \fIcidr\fP
-The destination address mask in CIDR notation.
-.TP
-\fB\-\-hmark\-sport\-mask\fP \fIvalue\fP
-A 16 bit source port mask in hexadecimal.
-.TP
-\fB\-\-hmark\-dport\-mask\fP \fIvalue\fP
-A 16 bit destination port mask in hexadecimal.
-.TP
-\fB\-\-hmark\-spi\-mask\fP \fIvalue\fP
-A 32 bit field with spi mask.
-.TP
-\fB\-\-hmark\-proto\-mask\fP \fIvalue\fP
-An 8 bit field with layer 4 protocol number.
-.TP
-\fB\-\-hmark\-rnd\fP \fIvalue\fP
-A 32 bit random custom value to feed hash calculation.
-.PP
-\fI例\fP:
-.PP
-iptables \-t mangle \-A PREROUTING \-m conntrack \-\-ctstate NEW
- \-j HMARK \-\-hmark\-tuple ct,src,dst,proto \-\-hmark\-offset 10000
-\-\-hmark\-mod 10 \-\-hmark\-rnd 0xfeedcafe
-.PP
-iptables \-t mangle \-A PREROUTING \-j HMARK \-\-hmark\-offset 10000 \-\-hmark\-tuple
-src,dst,proto \-\-hmark\-mod 10 \-\-hmark\-rnd 0xdeafbeef
-.SS IDLETIMER
-This target can be used to identify when interfaces have been idle for a
-certain period of time. Timers are identified by labels and are created
-when a rule is set with a new label. The rules also take a timeout value
-(in seconds) as an option. If more than one rule uses the same timer label,
-the timer will be restarted whenever any of the rules get a hit. One entry
-for each timer is created in sysfs. This attribute contains the timer
-remaining for the timer to expire. The attributes are located under the
-xt_idletimer class:
-.PP
-/sys/class/xt_idletimer/timers/<label>
-.PP
-When the timer expires, the target module sends a sysfs notification to the
-userspace, which can then decide what to do (eg. disconnect to save power).
-.TP
-\fB\-\-timeout\fP \fIamount\fP
-This is the time in seconds that will trigger the notification.
-.TP
-\fB\-\-label\fP \fIstring\fP
-This is a unique identifier for the timer. The maximum length for the label
-string is 27 characters.
-.SS LED
-This creates an LED\-trigger that can then be attached to system indicator
-lights, to blink or illuminate them when certain packets pass through the
-system. One example might be to light up an LED for a few minutes every time
-an SSH connection is made to the local machine. The following options
-control the trigger behavior:
-.TP
-\fB\-\-led\-trigger\-id\fP \fIname\fP
-This is the name given to the LED trigger. The actual name of the trigger
-will be prefixed with "netfilter\-".
-.TP
-\fB\-\-led\-delay\fP \fIms\fP
-This indicates how long (in milliseconds) the LED should be left illuminated
-when a packet arrives before being switched off again. The default is 0
-(blink as fast as possible.) The special value \fIinf\fP can be given to leave
-the LED on permanently once activated. (In this case the trigger will need
-to be manually detached and reattached to the LED device to switch it off
-again.)
-.TP
-\fB\-\-led\-always\-blink\fP
-Always make the LED blink on packet arrival, even if the LED is already on.
-This allows notification of new packets even with long delay values (which
-otherwise would result in a silent prolonging of the delay time.)
-.TP
-例:
-.TP
-Create an LED trigger for incoming SSH traffic:
-iptables \-A INPUT \-p tcp \-\-dport 22 \-j LED \-\-led\-trigger\-id ssh
-.TP
-Then attach the new trigger to an LED:
-echo netfilter\-ssh >/sys/class/leds/\fIledname\fP/trigger
-.SS LOG
-マッチしたパケットをカーネルログに記録する。 このオプションがルールに対して設定されると、 Linux
-カーネルはマッチしたパケットについての何らかの情報 (多くの IP/IPv6 ヘッダーフィールドなど) を カーネルログに表示する (カーネルログは
-\fIdmesg\fP(1) や syslog で参照できる)。
-.PP
-これは "非終了ターゲット" である。 すなわち、 ルールの探索は次のルールへと継続される。 よって、 拒否するパケットをログ記録したければ、
-同じマッチング判断基準を持つ 2 つのルールを使用し、 最初のルールで LOG ターゲットを、 次のルールで DROP (または REJECT)
-ターゲットを指定する。
-.TP
-\fB\-\-log\-level\fP \fIlevel\fP
-ロギングレベル。 (システム固有の) 数値かシンボル名を指定する。 指定できる値は (優先度が高い順に) \fBemerg\fP, \fBalert\fP,
-\fBcrit\fP, \fBerror\fP, \fBwarning\fP, \fBnotice\fP, \fBinfo\fP, \fBdebug\fP である。
-.TP
-\fB\-\-log\-prefix\fP \fIprefix\fP
-指定したプレフィックスをログメッセージの前に付ける。
-プレフィックスは 29 文字までの長さで、
-ログの中でメッセージを区別するのに役立つ。
-.TP
-\fB\-\-log\-tcp\-sequence\fP
-TCP シーケンス番号をログに記録する。 ログがユーザーから読める場合、 セキュリティ上の危険がある。
-.TP
-\fB\-\-log\-tcp\-options\fP
-TCP パケットヘッダーのオプションをログに記録する。
-.TP
-\fB\-\-log\-ip\-options\fP
-IP/IPv6 パケットヘッダーのオプションをログに記録する。
-.TP
-\fB\-\-log\-uid\fP
-パケットを生成したプロセスのユーザー ID をログに記録する。
-.SS MARK
-このターゲットを使うと、 そのパケットに関連付けられる Netfilter マーク値を設定する。 例えば、 fwmark に基づくルーティング
-(iproute2 が必要) と組み合わせて使うことができる。 そうする場合には、 ルーティング時に考慮されるようにするには、 mangle テーブルの
-PREROUTING チェインでマークを設定する必要がある。 マークフィールドは 32 ビット幅である。
-.TP
-\fB\-\-set\-xmark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と packet mark ("nfmark") の XOR を取る。
-\fImask\fP が省略された場合は 0xFFFFFFFF とみなされる。
-.TP
-\fB\-\-set\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と packet mark の OR を取る。 \fImask\fP が省略された場合は
-0xFFFFFFFF とみなされる。
-.PP
-以下の簡易表現が利用できる。
-.TP
-\fB\-\-and\-mark\fP \fIbits\fP
-nfmark と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-xmark 0/\fP\fIinvbits\fP の簡易表現、
-\fIinvbits\fP は \fIbits\fP のビット単位の否定である)。
-.TP
-\fB\-\-or\-mark\fP \fIbits\fP
-nfmark と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/\fP\fIbits\fP の簡易表現)。
-.TP
-\fB\-\-xor\-mark\fP \fIbits\fP
-nfmark と \fIbits\fP のビット XOR を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/0\fP の簡易表現)。
-.SS MASQUERADE
-このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP チェインのみで有効である。 動的割り当て IP (ダイヤルアップ)
-コネクションの場合にのみ使うべきである。 固定 IP アドレスならば、 SNAT ターゲットを使うべきである。 マスカレーディングは、
-パケットが送信されるインターフェースの IP アドレスへのマッピングを指定するのと同じであるが、
-インターフェースが停止した場合にコネクションを\fI忘れる\fPという効果がある。 次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い
-(そのため、 前回確立されたコネクションは失われる) 場合、 この動作は正しい。
-.TP
-\fB\-\-to\-ports\fP \fIport\fP[\fB\-\fP\fIport\fP]
-このオプションは、 使用する送信元ポートの範囲を指定し、 デフォルトの \fBSNAT\fP 送信元ポートの選択方法 (上記) よりも優先される。
-ルールがプロトコルとして \fBtcp\fP, \fBudp\fP, \fBdccp\fP, \fBsctp\fP を指定している場合にのみ有効である。
-.TP
-\fB\-\-random\fP
-送信元ポートのマッピングをランダム化する。 \fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル
-2.6.21 以降)。
-.TP
-IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
-.SS "MIRROR (IPv4 の場合)"
-実験的なデモンストレーション用のターゲットであり、 IP ヘッダーの送信元と宛先フィールドを入れ換え、 パケットを再送信するものである。 これは
-\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインと、 これらのチェインから呼び出される
-ユーザー定義チェインだけで有効である。 ループ等の問題を回避するため、 外部に送られるパケットは
-いかなるパケットフィルタリングチェイン・コネクション追跡・NAT からも 監視\fBされない\fP。
-.SS NETMAP
-このターゲットを使うと、あるアドレスネットワーク全体を別のネットワークアドレスに静的にマッピングできる。 このターゲットは \fBnat\fP
-テーブルでルールでのみ使用できる。
-.TP
-\fB\-\-to\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-マッピング先のネットワークアドレス。 変換後のアドレスは以下のようにして構築される。 mask で '1' になっているビットは新しいアドレスが使われ、
-mask で '0' になっているビットは元のアドレスが使われる。
-.TP
-IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
-.SS NFLOG
-このターゲットは、 マッチしたパケットをログに記録する機能を提供する。 このターゲットがルールに設定されると、 Linux
-カーネルはそのログに記録するためにそのパケットをロードされたロギングバックエンドに渡す。 このターゲットは通常は nfnetlink_log
-をロギングバックエンドとして使う組み合わせで使用される。 nfnetlink_log はそのパケットを \fInetlink\fP
-ソケット経由で指定されたマルチキャストグループにマルチキャストする。 1
-つ以上のユーザー空間プロセスがマルチキャストグループを購読しパケットを受信することができる。 LOG と同様に、
-このターゲットは非終了ターゲットであり、 ルールの探索は次のルールへと継続される。
-.TP
-\fB\-\-nflog\-group\fP \fInlgroup\fP
-パケットを送信する netlink グループ (0 \- 2^16\-1) を指定する (nfnetlink_log の場合のみ利用できる)。
-デフォルトの値は 0 である。
-.TP
-\fB\-\-nflog\-prefix\fP \fIprefix\fP
-ログメッセージの前に付けるプレフィックス文字列。 最大 64 文字までの指定できる。 ログの中でメッセージを区別するのに役に立つ。
-.TP
-\fB\-\-nflog\-range\fP \fIsize\fP
-ユーザー空間にコピーするバイト数 (nfnetlink_log の場合のみ利用できる)。 nfnetlink_log
-のインスタンスは自身でコピーする範囲を指定できるが、 このオプションはそれを上書きする。
-.TP
-\fB\-\-nflog\-threshold\fP \fIsize\fP
-ユーザー空間にパケットを送信する前に、カーネル内部のキューに入れるパケット数 (nfnetlink_log の場合のみ利用できる)。
-大きめの値を指定するほどパケット単位のオーバヘッドは少なくなるが、 パケットがユーザー空間に届くまでの遅延が大きくなる。 デフォルト値は 1 である。
-.SS NFQUEUE
-このターゲットは、 \fBnfnetlink_queue\fP ハンドラーを使ってそのパケットをユーザー空間に渡す。 パケットは 16
-ビットのキュー番号で指定されたキューに入れられる。 ユーザー空間では好きなようにパケットを検査し変更できる。
-ユーザー空間側では、必ずそのパケットを破棄するかカーネルに戻すかのどちらかをしなければならない。 詳細は libnetfilter_queue
-を参照のこと。
-\fBnfnetlink_queue\fP は Linux 2.6.14 で追加された。 \fBqueue\-balance\fP オプションは Linux
-2.6.31 で、 \fBqueue\-bypass\fP は Linux 2.6.39 で追加された。
-.TP
-\fB\-\-queue\-num\fP \fIvalue\fP
-使用する QUEUE 番号を指定する。 有効なキュー番号は 0 から 65535 である。 デフォルトは 0 である。
-.PP
-.TP
-\fB\-\-queue\-balance\fP \fIvalue\fP\fB:\fP\fIvalue\fP
-使用するキューの範囲を指定する。 パケットは指定された範囲のキューに分散される。 これはマルチコアシステムで有用である。
-ユーザー空間プログラムの複数インスタンスをキュー x, x+1, .. x+n で開始し、 "\-\-queue\-balance
-\fIx\fP\fB:\fP\fIx+n\fP" を使用する。 同じコネクションに所属するパケットは同じ nfqueue に入れられる。
-.PP
-.TP
-\fB\-\-queue\-bypass\fP
-デフォルトでは、 どのユーザー空間プログラムも NFQUEUE をリッスンしていない場合、 キューされるはずのすべてのパケットが破棄される。
-このオプションを使うと、 NFQUEUE ルールは ACCEPT のような動作となり、 パケットは次のテーブルに進む。
-.PP
-.TP
-\fB\-\-queue\-cpu\-fanout\fP
-Linux カーネル 3.10 以降で利用可能。 \fB\-\-queue\-balance\fP
-とともに使用されると、このオプションはパケットをキューにマッピングする際のインデックスとして CPU ID を使用する。 これは、 CPU
-ごとにキューがある場合に性能を向上させようというものである。 このオプションを使うには \fB\-\-queue\-balance\fP を指定する必要がある。
-.SS NOTRACK
-このターゲットを使うと、そのルールにマッチした全てのパケットでコネクション追跡が無効になる。 これは \-j CT \-\-notrack と等価である。
-CT と同様、 NOTRACK は \fBraw\fP テーブルでのみ使用できる。
-.SS RATEEST
-The RATEEST target collects statistics, performs rate estimation calculation
-and saves the results for later evaluation using the \fBrateest\fP match.
-.TP
-\fB\-\-rateest\-name\fP \fIname\fP
-Count matched packets into the pool referred to by \fIname\fP, which is freely
-choosable.
-.TP
-\fB\-\-rateest\-interval\fP \fIamount\fP{\fBs\fP|\fBms\fP|\fBus\fP}
-Rate measurement interval, in seconds, milliseconds or microseconds.
-.TP
-\fB\-\-rateest\-ewmalog\fP \fIvalue\fP
-Rate measurement averaging time constant.
-.SS REDIRECT
-このターゲットは、 \fBnat\fP テーブルの \fBPREROUTING\fP チェインと \fBOUTPUT\fP チェイン、
-およびこれらチェインから呼び出されるユーザー定義チェインでのみ有効である。 このターゲットは、 宛先 IP
-をパケットを受信したインタフェースの最初のアドレスに変更することで、 パケットをそのマシン自身にリダイレクトする
-(ローカルで生成されたパケットはローカルホストのアドレス、 IPv4 では 127.0.0.1、 IPv6 では ::1 にマップされる)。
-.TP
-\fB\-\-to\-ports\fP \fIport\fP[\fB\-\fP\fIport\fP]
-このオプションは使用される宛先ポート・ポート範囲・複数ポートを指定する。 このオプションが指定されない場合、 宛先ポートは変更されない。
-ルールがプロトコルとして \fBtcp\fP, \fBudp\fP, \fBdccp\fP, \fBsctp\fP を指定している場合にのみ有効である。
-.TP
-\fB\-\-random\fP
-\fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.22 以降)。
-.TP
-IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
-.SS "REJECT (IPv6 のみ)"
-マッチしたパケットの応答としてエラーパケットを送信するために使われる。
-エラーパケットを送らなければ、 \fBDROP\fP と同じであり、 TARGET を終了し、
-ルールの探索を終了する。 このターゲットは、 \fBINPUT\fP, \fBFORWARD\fP,
-\fBOUTPUT\fP チェインと、 これらのチェインから呼ばれる ユーザー定義チェイン
-だけで有効である。 以下のオプションは、 返されるエラーパケットの特性を
-制御する。
-.TP
-\fB\-\-reject\-with\fP \fItype\fP
-指定できるタイプは \fBicmp6\-no\-route\fP, \fBno\-route\fP, \fBicmp6\-adm\-prohibited\fP,
-\fBadm\-prohibited\fP, \fBicmp6\-addr\-unreachable\fP, \fBaddr\-unreach\fP,
-\fBicmp6\-port\-unreachable\fP である。 指定したタイプの適切な IPv6 エラーメッセージが返される
-(\fBicmp6\-port\-unreachable\fP がデフォルトである)。 さらに、 TCP プロトコルにのみマッチするルールに対して、 オプション
-\fBtcp\-reset\fP を使うことができる。 このオプションを使うと、 TCP RST パケットが送り返される。 主として \fIident\fP
-(113/tcp) による探査を阻止するのに役立つ。 \fIident\fP による探査は、 壊れている (メールを受け取らない) メールホストに
-メールが送られる場合に頻繁に起こる。 \fBtcp\-reset\fP はバージョン 2.6.14 以降のカーネルでのみ使用できる。
-.SS "REJECT (IPv4 の場合)"
-マッチしたパケットの応答としてエラーパケットを送信するために使われる。
-エラーパケットを送らなければ、 \fBDROP\fP と同じであり、 TARGET を終了し、
-ルールの探索を終了する。 このターゲットは、 \fBINPUT\fP, \fBFORWARD\fP,
-\fBOUTPUT\fP チェインと、 これらのチェインから呼ばれる ユーザー定義チェイン
-だけで有効である。 以下のオプションは、 返されるエラーパケットの特性を
-制御する。
-.TP
-\fB\-\-reject\-with\fP \fItype\fP
-指定できるタイプは \fBicmp\-net\-unreachable\fP, \fBicmp\-host\-unreachable\fP,
-\fBicmp\-port\-unreachable\fP, \fBicmp\-proto\-unreachable\fP, \fBicmp\-net\-prohibited\fP,
-\fBicmp\-host\-prohibited\fP, \fBicmp\-admin\-prohibited\fP (*) である。指定したタイプの適切な ICMP
-エラーメッセージを返す (\fBicmp\-port\-unreachable\fP がデフォルトである)。 TCP プロトコルにのみマッチするルールに対して、
-オプション \fBtcp\-reset\fP を使うことができる。 このオプションを使うと、 TCP RST パケットが送り返される。 主として
-\fIident\fP (113/tcp) による探査を阻止するのに役立つ。 \fIident\fP による探査は、 壊れている (メールを受け取らない)
-メールホストに メールが送られる場合に頻繁に起こる。
-.PP
-(*) icmp\-admin\-prohibited をサポートしないカーネルで、 icmp\-admin\-prohibited を使用すると、
-REJECT ではなく単なる DROP になる。
-.SS "SAME (IPv4 の場合)"
-Similar to SNAT/DNAT depending on chain: it takes a range of addresses
-(`\-\-to 1.2.3.4\-1.2.3.7') and gives a client the same
-source\-/destination\-address for each connection.
-.PP
-N.B.: The DNAT target's \fB\-\-persistent\fP option replaced the SAME target.
-.TP
-\fB\-\-to\fP \fIipaddr\fP[\fB\-\fP\fIipaddr\fP]
-Addresses to map source to. May be specified more than once for multiple
-ranges.
-.TP
-\fB\-\-nodst\fP
-Don't use the destination\-ip in the calculations when selecting the new
-source\-ip
-.TP
-\fB\-\-random\fP
-Port mapping will be forcibly randomized to avoid attacks based on port
-prediction (kernel >= 2.6.21).
-.SS SECMARK
-This is used to set the security mark value associated with the packet for
-use by security subsystems such as SELinux. It is valid in the \fBsecurity\fP
-table (for backwards compatibility with older kernels, it is also valid in
-the \fBmangle\fP table). The mark is 32 bits wide.
-.TP
-\fB\-\-selctx\fP \fIsecurity_context\fP
-.SS SET
-このモジュールは \fBipsec\fP(8) で定義できる IP 集合のエントリの追加、削除、その両方を行う。
-.TP
-\fB\-\-add\-set\fP \fIsetname\fP \fIflag\fP[\fB,\fP\fIflag\fP...]
-集合に指定されたアドレス/ポート (複数可) を追加する
-.TP
-\fB\-\-del\-set\fP \fIsetname\fP \fIflag\fP[\fB,\fP\fIflag\fP...]
-集合から指定されたアドレス/ポート (複数可) を削除する
-.IP
-\fIflag\fP は \fBsrc\fP や \fBdst\fP の指定であり、 指定できるのは 6 個までである。
-.TP
-\fB\-\-timeout\fP \fIvalue\fP
-エントリを追加する際に、 集合定義のデフォルト値ではなく指定したタイムアウト値を使用する
-.TP
-\fB\-\-exist\fP
-エントリを追加する際に、 エントリが存在する場合、 タイムアウト値を、 指定された値か集合定義のデフォルト値にリセットする
-.PP
-\-j SET を使用するには ipset のカーネルサポートが必要である。 標準のカーネルでは、 Linux 2.6.39 以降で提供されている。
-.SS SNAT
-このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP, \fBINPUT\fP チェイン、 これらのチェインから呼び出される
-ユーザー定義チェインのみで有効である。 このターゲットはパケットの送信元アドレスを修正する (このコネクションの以降のパケットも修正して分からなく
-(mangle) する)。 さらに、 ルールによるチェックを止めさせる。 このターゲットには以下のオプションがある:
-.TP
-\fB\-\-to\-source\fP [\fIipaddr\fP[\fB\-\fP\fIipaddr\fP]][\fB:\fP\fIport\fP[\fB\-\fP\fIport\fP]]
-1 つの新しい送信元 IP アドレス、 または IP アドレスの範囲が指定できる。 ルールでプロトコルとして \fBtcp\fP, \fBudp\fP,
-\fBdccp\fP, \fBsctp\fP が指定されている場合、 ポートの範囲を指定することもできる。 ポートの範囲が指定されていない場合、 512
-未満の送信元ポートは、 他の 512 未満のポートにマッピングされる。 512 〜 1023 までのポートは、 1024
-未満のポートにマッピングされる。 それ以外のポートは、 1024 以上のポートにマッピングされる。 可能であれば、 ポートの変換は起こらない。
-2.6.10 以前のカーネルでは、 複数の \-\-to\-source オプションを指定することができる。 これらのカーネルでは、 アドレスの範囲指定や
-\-\-to\-source オプションの複数回指定により 2 つ以上の送信元アドレスを指定した場合、
-それらのアドレスを使った単純なラウンド・ロビンが行われる。 それ以降のカーネル (>= 2.6.11\-rc1) には複数の範囲を NAT
-する機能は存在しない。
-.TP
-\fB\-\-random\fP
-\fB\-\-random\fP オプションが使用されると、ポートマッピングはランダム化される (カーネル 2.6.21 以降)。
-.TP
-\fB\-\-persistent\fP
-クライアントの各コネクションに同じ送信元アドレス/宛先アドレスを割り当てる。 これは SAME ターゲットよりも優先される。 persistent
-マッピングのサポートは 2.6.29\-rc2 以降で利用可能である。
-.PP
-2.6.36\-rc1 より前のカーネルでは \fBINPUT\fP チェインで \fBSNAT\fP を使用できない。
-.TP
-IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
-.SS "SNPT (IPv6 のみ)"
-(RFC 6296 で説明されている) ステートレス IPv6\-to\-IPv6 送信元ネットワークプレフィックス変換を提供する。
-.PP
-このターゲットは \fBnat\fP テーブルではなく \fBmangle\fP テーブルで使わなければならない。 以下のオプションを取る。
-.TP
-\fB\-\-src\-pfx\fP [\fIprefix/\fP\fIlength]\fP
-変換を行う送信元プレフィックスとその長さを設定する。
-.TP
-\fB\-\-dst\-pfx\fP [\fIprefix/\fP\fIlength]\fP
-変換を行う宛先プレフィックスとその長さを設定する。
-.PP
-変換を取り消すには DNPT ターゲットを使わなければならない。 例:
-.IP
-ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0 \-j SNPT
-\-\-src\-pfx fd00::/64 \-\-dst\-pfx 2001:e20:2000:40f::/64
-.IP
-ip6tables \-t mangle \-I PREROUTING \-i wlan0 \-d 2001:e20:2000:40f::/64 \-j DNPT
-\-\-src\-pfx 2001:e20:2000:40f::/64 \-\-dst\-pfx fd00::/64
-.PP
-IPv6 neighbor proxy を有効にする必要があるかもしれない。
-.IP
-sysctl \-w net.ipv6.conf.all.proxy_ndp=1
-.PP
-また、変換されたフローに対するコネクション追跡を無効にするには \fBNOTRACK\fP ターゲットを使用する必要がある。
-.SS TCPMSS
-このターゲットを用いると、 TCP の SYN パケットの MSS 値を書き換え、 そのコネクションでの最大サイズを制御できる (通常は、
-送信インターフェースの MTU から IPv4 では 40 を、 IPv6 では 60 を引いた値に制限する)。 もちろん \fB\-p tcp\fP
-との組み合わせでしか使えない。
-.PP
-このターゲットは、 "ICMP Fragmentation Needed" や "ICMPv6 Packet Too Big"
-パケットをブロックしている犯罪的に頭のいかれた ISP やサーバーを乗り越えるために使用される。 Linux
-ファイアウォール/ルーターでは何も問題がないのに、 そこにぶら下がるマシンでは以下のように大きなパケットをやりとりできないというのが、
-この問題の兆候である。
-.IP 1. 4
-ウェブ・ブラウザで接続しようとすると、 何のデータも受け取らずにハングする
-.IP 2. 4
-短いメールは問題ないが、 長いメールがハングする
-.IP 3. 4
-ssh は問題ないが、 scp は最初のハンドシェーク後にハングする
-.PP
-回避方法: このオプションを有効にし、 以下のようなルールを ファイアウォールの設定に追加する。
-.IP
- iptables \-t mangle \-A FORWARD \-p tcp \-\-tcp\-flags SYN,RST SYN
- \-j TCPMSS \-\-clamp\-mss\-to\-pmtu
-.TP
-\fB\-\-set\-mss\fP \fIvalue\fP
-Explicitly sets MSS option to specified value. If the MSS of the packet is
-already lower than \fIvalue\fP, it will \fBnot\fP be increased (from Linux 2.6.25
-onwards) to avoid more problems with hosts relying on a proper MSS.
-.TP
-\fB\-\-clamp\-mss\-to\-pmtu\fP
-Automatically clamp MSS value to (path_MTU \- 40 for IPv4; \-60 for IPv6).
-This may not function as desired where asymmetric routes with differing path
-MTU exist \(em the kernel uses the path MTU which it would use to send
-packets from itself to the source and destination IP addresses. Prior to
-Linux 2.6.25, only the path MTU to the destination IP address was considered
-by this option; subsequent kernels also consider the path MTU to the source
-IP address.
-.PP
-これらのオプションはどちらか 1 つしか指定できない。
-.SS TCPOPTSTRIP
-このターゲットは TCP パケットから TCP オプションを削除する (実際には TCPオプションを NO\-OP で置き換える)。
-このターゲットを使うには \fB\-p tcp\fP パラメーターを使う必要があるだろう。
-.TP
-\fB\-\-strip\-options\fP \fIoption\fP[\fB,\fP\fIoption\fP...]
-指定されたオプション (複数可) を削除する。 オプションは TCP オプション番号かシンボル名で指定する。 iptables を \fB\-j
-TCPOPTSTRIP \-h\fP で呼び出すと、指定できるオプションのシンボル名を取得できる。
-.SS TEE
-\fBTEE\fP ターゲットは、 パケットのクローンを作成し、
-クローンしたパケットを\fBローカル\fPネットワークセグメントにある別のマシンにリダイレクトする。
-言い換えると、ネクストホップがターゲットでなければならないということだ。
-つまり、必要に応じてネクストホップがさらにパケットを転送するように設定する必要があるということだ。
-.TP
-\fB\-\-gateway\fP \fIipaddr\fP
-クローンしたパケットを指定した IP アドレスで届くホストに送信する。 (IPv4 の場合) 0.0.0.0、 (IPv6 の場合) ::
-は無効である。
-.PP
-eth0 に届いたすべての入力トラフィックをネットワーク層のロギングボックスに転送する。
-.PP
-\-t mangle \-A PREROUTING \-i eth0 \-j TEE \-\-gateway 2001:db8::1
-.SS TOS
-このモジュールは IPv4 ヘッダーの Type of Service フィールド (上位ビットも含む) や IPv6 ヘッダーの Priority
-フィールドを設定する。 TOS は DSCP と ECN と同じビットを共有する点に注意すること。 TOS ターゲットは \fBmangle\fP
-テーブルでのみ有効である。
-.TP
-\fB\-\-set\-tos\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-\fImask\fP で指定されたビットを 0 にし (下の「注意」を参照)、 \fIvalue\fP と TOS/Priority フィールド の XOR
-を取る。 \fImask\fP が省略された場合は 0xFF とみなされる。
-.TP
-\fB\-\-set\-tos\fP \fIsymbol\fP
-IPv4 の TOS ターゲットを使用する際にはシンボル名を指定することができる。 暗黙のうち 0xFF が mask として使用される
-(下の「注意」を参照)。 使用できる TOS 名のリストは iptables を \fB\-j TOS \-h\fP で呼び出すと取得できる。
-.PP
-以下の簡易表現が利用できる。
-.TP
-\fB\-\-and\-tos\fP \fIbits\fP
-TOS 値と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-tos 0/\fP\fIinvbits\fP の簡易表現、
-\fIinvbits\fP は \fIbits\fP のビット単位の否定である。 下の「注意」を参照)
-.TP
-\fB\-\-or\-tos\fP \fIbits\fP
-TOS 値と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-tos\fP \fIbits\fP\fB/\fP\fIbits\fP
-の簡易表現。下の「注意」を参照)
-.TP
-\fB\-\-xor\-tos\fP \fIbits\fP
-TOS 値と \fIbits\fP の XOR を取る (\fB\-\-set\-tos\fP \fIbits\fP\fB/0\fP の簡易表現。下の「注意」を参照)
-.PP
-注意: 2.6.38 以前の Linux カーネル (ただし、長期間サポートのリリース 2.6.32 (>=.42), 2.6.33
-(>=.15), 2.6.35 (>=.14) 以外) では、 IPv6 TOS mangling
-がドキュメントに書かれている通りに動作せず、IPv4 バージョンの場合と異なる動作をするというバグがある。 TOS mask はビットが 1
-の場合に対応するビットが 0 にすることを指示するので、 元の TOS フィールドに mask を適用する前に反転する必要がある。 しかしながら、
-上記のカーネルではこの反転が抜けており \-\-set\-tos と関連する簡易表現が正しく動作しない。
-.SS TPROXY
-このターゲットは、 \fBmangle\fP テーブルで、 \fBPREROUTING\fP チェインと、 \fBPREROUTING\fP チェインから呼び出される
-ユーザー定義チェインでのみ有効である。 このターゲットは、 そのパケットをパケットヘッダーを変更せずにそのままローカルソケットにリダイレクトする。
-また、 mark 値を変更することもでき、 この mark 値は後で高度なルーティングルールで使用することができる。 このターゲットにはオプションが 3
-つある:
-.TP
-\fB\-\-on\-port\fP \fIport\fP
-このオプションは使用する宛先ポートを指定する。 このオプションは必須で、 0 は宛先ポートが元々の宛先ポートと同じであることを意味する。 ルールが
-\fB\-p tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効である。
-.TP
-\fB\-\-on\-ip\fP \fIaddress\fP
-このオプションは使用する宛先アドレスを指定する。 デフォルトでは、 パケットが到着したインタフェースの IP アドレスが使用される。 ルールが \fB\-p
-tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効である。
-.TP
-\fB\-\-tproxy\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Marks packets with the given value/mask. The fwmark value set here can be
-used by advanced routing. (Required for transparent proxying to work:
-otherwise these packets will get forwarded, which is probably not what you
-want.)
-.SS TRACE
-This target marks packets so that the kernel will log every rule which match
-the packets as those traverse the tables, chains, rules.
-.PP
-A logging backend, such as ip(6)t_LOG or nfnetlink_log, must be loaded for
-this to be visible. The packets are logged with the string prefix: "TRACE:
-tablename:chainname:type:rulenum " where type can be "rule" for plain rule,
-"return" for implicit rule at the end of a user defined chain and "policy"
-for the policy of the built in chains.
-.br
-It can only be used in the \fBraw\fP table.
-.SS "TTL (IPv4 の場合)"
-このターゲットを使うと、 IPv4 の TTL ヘッダーフィールドを変更できる。 TTL フィールドにより、 TTL
-がなくなるまでに、パケットが何ホップ (何個のルータ) を通過できるかが決定される。
-.PP
-TTL フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。 したがって、可能な限り避けるべきである。 このターゲットは \fBmangle\fP
-テーブルでのみ有効である。
-.PP
-\fB決してローカルネットワーク内に留まるパケットのフィールド値を設定したり増やしたりしないこと!\fP
-.TP
-\fB\-\-ttl\-set\fP \fIvalue\fP
-TTL 値を `value' に設定する。
-.TP
-\fB\-\-ttl\-dec\fP \fIvalue\fP
-TTL 値を `value' 回減算する。
-.TP
-\fB\-\-ttl\-inc\fP \fIvalue\fP
-TTL 値を `value' 回加算する。
-.SS "ULOG (IPv4 の場合)"
-このターゲットは NFLOG ターゲットの前身で IPv4 専用である。現在は非推奨となっている。 マッチしたパケットを
-ユーザー空間でログ記録する機能を提供する。 このターゲットがルールに設定されると、 Linux カーネルは、 そのパケットを \fInetlink\fP
-ソケットを用いてマルチキャストする。 そして、 1 つ以上のユーザー空間プロセスが いろいろなマルチキャストグループに登録をおこない、
-パケットを受信する。 LOG と同様、 これは "非終了ターゲット" であり、 ルールの探索は次のルールへと継続される。
-.TP
-\fB\-\-ulog\-nlgroup\fP \fInlgroup\fP
-パケットを送信する netlink グループ (1\-32) を指定する。 デフォルトの値は 1 である。
-.TP
-\fB\-\-ulog\-prefix\fP \fIprefix\fP
-指定したプレフィックスをログメッセージの前に付ける。 32 文字までの指定できる。 ログの中でメッセージを区別するのに便利である。
-.TP
-\fB\-\-ulog\-cprange\fP \fIsize\fP
-ユーザー空間にコピーするパケットのバイト数。 値が 0 の場合、 サイズに関係なく全パケットをコピーする。 デフォルトは 0 である。
-.TP
-\fB\-\-ulog\-qthreshold\fP \fIsize\fP
-カーネル内部のキューに入れられるパケットの数。 例えば、 この値を 10 にした場合、 カーネル内部で 10 個のパケットをまとめ、 1 つの
-netlink マルチパートメッセージとしてユーザー空間に送る。 (過去のものとの互換性のため) デフォルトは 1 である。
-.br
+++ /dev/null
-.\"*******************************************************************
-.\"
-.\" This file was generated with po4a. Translate the source file.
-.\"
-.\"*******************************************************************
-.\"
-.\" Japanese Version Copyright (c) 2001 Yuichi SATO
-.\" all rights reserved.
-.\" Translated 2001-05-15, Yuichi SATO <ysato@h4.dion.ne.jp>
-.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
-.TH IPTABLES\-RESTORE 8 "" "iptables 1.4.21" "iptables 1.4.21"
-.\"
-.\" Man page written by Harald Welte <laforge@gnumonks.org>
-.\" It is based on the iptables man page.
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH 名前
-iptables\-restore \(em IP テーブルを復元する
-.P
-ip6tables\-restore \(em IPv6 テーブルを復元する
-.SH 書式
-\fBiptables\-restore\fP [\fB\-chntv\fP] [\fB\-M\fP \fImodprobe\fP]
-.P
-\fBip6tables\-restore\fP [\fB\-chntv\fP] [\fB\-M\fP \fImodprobe\fP] [\fB\-T\fP \fIname\fP]
-.SH 説明
-.PP
-\fBiptables\-restore\fP と \fBip6tables\-restore\fP は標準入力で指定されたデータから IP/IPv6
-テーブルを復元するために使われる。 ファイルから読み込むためには、 シェルで提供されている I/O リダイレクションを使うこと。
-.TP
-\fB\-c\fP, \fB\-\-counters\fP
-全てのパケットカウンタとバイトカウンタの値を復元する。
-.TP
-\fB\-h\fP, \fB\-\-help\fP
-簡潔なオプション一覧を表示する。
-.TP
-\fB\-n\fP, \fB\-\-noflush\fP
-これまでのテーブルの内容をフラッシュしない。 指定されない場合、 どちらのコマンドもこれまでの各テーブルの内容を全てフラッシュ (削除) する。
-.TP
-\fB\-t\fP, \fB\-\-test\fP
-ルールセットの解釈と構築のみを行い、適用は行わない。
-.TP
-\fB\-v\fP, \fB\-\-verbose\fP
-ルールセットの処理中に追加のデバッグ情報を表示する。
-.TP
-\fB\-M\fP, \fB\-\-modprobe\fP \fImodprobe_program\fP
-modprobe プログラムのパスを指定する。デフォルトでは、 iptables\-restore は /proc/sys/kernel/modprobe
-の内容を確認して実行ファイルのパスを決定する。
-.TP
-\fB\-T\fP, \fB\-\-table\fP \fIname\fP
-入力ストリームに他のテーブルの情報が含まれている場合でも、指定されたテーブルについてのみ復元を行う。
-.SH バグ
-iptables\-1.2.1 リリースでは知られていない。
-.SH 作者
-Harald Welte <laforge@gnumonks.org> は Rusty Russell のコードを元に
-iptables\-restore を書いた。
-.br
-Andras Kis\-Szabo <kisza@sch.bme.hu> は ip6tables\-restore に貢献した。
-.SH 関連項目
-\fBiptables\-save\fP(8), \fBiptables\fP(8)
-.PP
-より多くの iptables の使用法について 詳細に説明している iptables\-HOWTO。 NAT について詳細に説明している
-NAT\-HOWTO。 内部構造について詳細に説明している netfilter\-hacking\-HOWTO。
+++ /dev/null
-.\"*******************************************************************
-.\"
-.\" This file was generated with po4a. Translate the source file.
-.\"
-.\"*******************************************************************
-.\"
-.\" Japanese Version Copyright (c) 2001 Yuichi SATO
-.\" all rights reserved.
-.\" Translated 2001-05-15, Yuichi SATO <ysato@h4.dion.ne.jp>
-.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
-.TH IPTABLES\-SAVE 8 "" "iptables 1.4.21" "iptables 1.4.21"
-.\"
-.\" Man page written by Harald Welte <laforge@gnumonks.org>
-.\" It is based on the iptables man page.
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH 名前
-iptables\-save \(em iptables ルールを標準出力にダンプする
-.P
-ip6tables\-save \(em iptables ルールを標準出力にダンプする
-.SH 書式
-\fBiptables\-save\fP [\fB\-M\fP \fImodprobe\fP] [\fB\-c\fP] [\fB\-t\fP \fItable\fP]
-.P
-\fBip6tables\-save\fP [\fB\-M\fP \fImodprobe\fP] [\fB\-c\fP] [\fB\-t\fP \fItable\fP]
-.SH 説明
-.PP
-\fBiptables\-save\fP と \fBip6tables\-save\fP は IP/IPv6 テーブルの内容を簡単に解析できる形式で
-標準出力にダンプするために使われる。 ファイルに書き出すためには、 シェルで提供されている I/O リダイレクションを使うこと。
-.TP
-\fB\-M\fP \fImodprobe_program\fP
-modprobe プログラムのパスを指定する。デフォルトでは、 iptables\-save は /proc/sys/kernel/modprobe
-の内容を確認して実行ファイルのパスを決定する。
-.TP
-\fB\-c\fP, \fB\-\-counters\fP
-全てのパケットカウンタとバイトカウンタの現在の値を出力する。
-.TP
-\fB\-t\fP, \fB\-\-table\fP \fItablename\fP
-出力を 1 つのテーブルのみに制限する。 指定されない場合、得られた全てのテーブルを出力する。
-.SH バグ
-iptables\-1.2.1 リリースでは知られていない。
-.SH 作者
-Harald Welte <laforge@gnumonks.org>
-.br
-Rusty Russell <rusty@rustcorp.com.au>
-.br
-Andras Kis\-Szabo <kisza@sch.bme.hu> は ip6tables\-save に貢献した。
-.SH 関連項目
-\fBiptables\-restore\fP(8), \fBiptables\fP(8)
-.PP
-より多くの iptables の使用法について 詳細に説明している iptables\-HOWTO。 NAT について詳細に説明している
-NAT\-HOWTO。 内部構造について詳細に説明している netfilter\-hacking\-HOWTO。
+++ /dev/null
-.\"*******************************************************************
-.\"
-.\" This file was generated with po4a. Translate the source file.
-.\"
-.\"*******************************************************************
-.\"
-.\" Japanese Version Copyright (c) 2001, 2004 Yuichi SATO
-.\" all right reserved.
-.\" Translated 2001-07-29, Yuichi SATO <ysato@h4.dion.ne.jp>
-.\" Updated & Modified 2001-09-12, Yuichi SATO
-.\" Updated 2003-05-28, System Design and Research Institute Co., Ltd.
-.\" Updated & Modified 2004-02-21, Yuichi SATO <ysato444@yahoo.co.jp>
-.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
-.TH IPTABLES 8 "" "iptables 1.4.21" "iptables 1.4.21"
-.\"
-.\" Man page written by Herve Eychenne <rv@wallfire.org> (May 1999)
-.\" It is based on ipchains page.
-.\" TODO: add a word for protocol helpers (FTP, IRC, SNMP-ALG)
-.\"
-.\" ipchains page by Paul ``Rusty'' Russell March 1997
-.\" Based on the original ipfwadm man page by Jos Vos <jos@xos.nl>
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH 名前
-iptables/ip6tables \(em IPv4/IPv6 のパケットフィルタと NAT の管理ツール
-.SH 書式
-\fBiptables\fP [\fB\-t\fP \fItable\fP] {\fB\-A\fP|\fB\-C\fP|\fB\-D\fP} \fIchain\fP
-\fIrule\-specification\fP
-.P
-\fBip6tables\fP [\fB\-t\fP \fItable\fP] {\fB\-A\fP|\fB\-C\fP|\fB\-D\fP} \fIchain
-rule\-specification\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-I\fP \fIchain\fP [\fIrulenum\fP]
-\fIrule\-specification\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-R\fP \fIchain rulenum rule\-specification\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-D\fP \fIchain rulenum\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-S\fP [\fIchain\fP [\fIrulenum\fP]]
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] {\fB\-F\fP|\fB\-L\fP|\fB\-Z\fP} [\fIchain\fP [\fIrulenum\fP]]
-[\fIoptions...\fP]
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-N\fP \fIchain\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-X\fP [\fIchain\fP]
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-P\fP \fIchain target\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-E\fP \fIold\-chain\-name new\-chain\-name\fP
-.PP
-rule\-specification = [\fImatches...\fP] [\fItarget\fP]
-.PP
-match = \fB\-m\fP \fImatchname\fP [\fIper\-match\-options\fP]
-.PP
-target = \fB\-j\fP \fItargetname\fP [\fIper\-target\-options\fP]
-.SH 説明
-\fBiptables\fP と \fBip6tables\fP は Linux カーネルの IPv4/IPv6
-パケットフィルタルールのテーブルの設定・管理・検査に使用される。 複数の異なるテーブルを定義できる。 各テーブルには数個の組み込みチェインがあり、
-さらにユーザー定義のチェインを加えることもできる。
-.PP
-各チェインは、パケット群にマッチするルールのリストである。 各ルールはマッチしたパケットに対する処理を規定する。
-パケットに対する処理は「ターゲット」と呼ばれ、 同じテーブル内のユーザー定義チェインにジャンプすることもできる。
-.SH ターゲット
-ファイアウォールのルールでは、 パケットのマッチ条件とターゲットを指定する。 パケットがマッチしない場合、 チェイン内の次のルールが評価される。
-パケットがマッチした場合、 ターゲットの値によって次のルールが指定される。 ターゲットの値には、 ユーザー定義チェインの名前、
-\fBiptables\-extensions\fP(8) に説明があるターゲットのいずれか、 もしくは特別な値 \fBACCEPT\fP, \fBDROP\fP,
-\fBRETURN\fP のいずれかを指定する。
-.PP
-\fBACCEPT\fP はパケット通過、 \fBDROP\fP はパケット廃棄を意味する。 \fBRETURN\fP は、このチェインを辿るのを中止して、 前の
-(呼び出し元) チェインの次のルールから再開するという意味である。 組み込みチェインの最後に到達した場合、 または組み込みチェインでターゲット
-\fBRETURN\fP を持つルールにマッチした場合、 パケットをどのように処理するかは、そのチェインのポリシーで指定されたターゲットにより決まる。
-.SH テーブル
-現在のところ 5 つの独立なテーブルが存在する (ある時点でどのテーブルが存在するかは、 カーネルの設定やどういったモジュールが存在するかに依存する)。
-.TP
-\fB\-t\fP, \fB\-\-table\fP \fItable\fP
-このコマンドで操作するパケットマッチングテーブルを指定する。 カーネルで自動モジュールローディングが有効になっている場合、
-そのテーブルで必要となるモジュールがまだロードされていなければ、 ロードされる。
-
-以下のテーブルがある。
-.RS
-.TP .4i
-\fBfilter\fP:
-(\-t オプションが指定されていない場合は) このテーブルがデフォルトとなる。 このテーブルには、 \fBINPUT\fP
-(ローカルマシンのソケット宛のパケットに対するチェイン)、 \fBFORWARD\fP (マシンを経由して転送されるパケットに対するチェイン)、
-\fBOUTPUT\fP (ローカルマシンで生成されたパケットに対するチェイン) という組み込みチェインがある。
-.TP
-\fBnat\fP:
-このテーブルは新しい接続を開くパケットの場合に参照される。 \fBPREROUTING\fP
-(パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)、 \fBOUTPUT\fP
-(ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)、 \fBPOSTROUTING\fP
-(パケットが出て行くときに変換するためのチェイン) という 3 つの組み込みチェインがある。 IPv6 NAT サポートはカーネル 3.7
-以降で利用できる。
-.TP
-\fBmangle\fP:
-このテーブルは特別なパケット変換に使われる。 カーネル 2.4.17 までは、組み込みチェインは \fBPREROUTING\fP
-(パケットが入ってきた場合、 すぐにそのパケットを変換するためのチェイン)、 \fBOUTPUT\fP (ローカルで生成されたパケットを
-ルーティングの前に変換するためのチェイン) の 2 つであった。 カーネル 2.4.18 からは、これらに加えて \fBINPUT\fP
-(マシン自体に入ってくるパケットに対するチェイン)、 \fBFORWARD\fP (マシンを経由するパケットに対するチェイン)、 \fBPOSTROUTING\fP
-(パケットが出て行くときに変換するためのチェイン) の 3 つの組み込みチェインもサポートされている。
-.TP
-\fBraw\fP:
-このテーブルは、NOTRACK ターゲットとの組み合わせで使用され、接続追跡 (connection tracking)
-の対象外とする通信を設定するのに使われる。このテーブルは netfilter フックに優先度高で登録されているので、 ip_conntrack や他の
-IP テーブルよりも前に呼ばれる。 このテーブルでは、 \fBPREROUTING\fP
-(任意のネットワークインタフェースから到着するパケットに対するチェイン)、 \fBOUTPUT\fP (ローカルプロセスが生成したパケットに対するチェイン)
-の 2 つの組み込みチェインが提供されている。
-.TP
-\fBsecurity\fP:
-このテーブルは、強制アクセス制御 (Mandatory Access Control; MAC) のネットワークルール用に使用される。 例えば、
-\fBSECMARK\fP や \fBCONNSECMARK\fP ターゲットにより有効にされるルールなどである。 強制アクセス制御は、 SELinux などの
-Linux セキュリティモジュールにより実装されている。 セキュリティテーブルは filter テーブルの後に呼ばれる。 これにより、
-強制アクセス制御のルールよりも前に、 filter テーブルの任意アクセス制御 (Discretionary Access Control; DAC)
-のルールを適用することができる。 このテーブルでは、 \fBINPUT\fP (マシン自体に入ってくるパケットに対するチェイン)、 \fBOUTPUT\fP
-(ローカルマシンで生成されたパケットに対してルーティング前に変更を行うためのチェイン)、 \fBFORWARD\fP
-(マシンを経由して転送されるパケットに対してルーティング前に変更を行うためのチェイン) の 3 つの組み込みチェインが提供されている。
-.RE
-.SH オプション
-\fBiptables\fP と \fBip6tables\fP で使えるオプションは、いくつかのグループに分けられる。
-.SS コマンド
-これらのオプションは、実行したい動作を指定する。 以下の説明で注記されていない限り、 コマンドラインで指定できるのはこの中の一つだけである。
-長いバージョンのコマンド名とオプション名は、 \fBiptables\fP が他のコマンド名やオプション名と区別できる範囲で (後ろの方の文字を省略して)
-指定することもできる。
-.TP
-\fB\-A\fP, \fB\-\-append\fP \fIchain rule\-specification\fP
-選択されたチェインの最後に 1 つ以上のルールを追加する。 送信元や送信先の名前の解決を行って、複数のアドレスに展開された場合は、
-可能なアドレスの組合せそれぞれに対してルールが追加される。
-.TP
-\fB\-C\fP, \fB\-\-check\fP \fIchain rule\-specification\fP
-指定したルールにマッチするルールが指定されたチェインにあるかを確認する。 このコマンドでマッチするエントリを探すのに使用されるロジックは \fB\-D\fP
-と同じだが、 既存の iptables 設定は変更されず、終了コードは成功、失敗を示すのに使用される。
-.TP
-\fB\-D\fP, \fB\-\-delete\fP \fIchain rule\-specification\fP
-.ns
-.TP
-\fB\-D\fP, \fB\-\-delete\fP \fIchain rulenum\fP
-選択されたチェインから 1 つ以上のルールを削除する。 このコマンドには 2 つの使い方がある: チェインの中の番号 (最初のルールを 1 とする)
-を指定する場合と、 マッチするルールを指定する場合である。
-.TP
-\fB\-I\fP, \fB\-\-insert\fP \fIchain\fP [\fIrulenum\fP] \fIrule\-specification\fP
-選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。 ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。
-ルール番号が指定されなかった場合、ルール番号のデフォルトは 1 となる。
-.TP
-\fB\-R\fP, \fB\-\-replace\fP \fIchain rulenum rule\-specification\fP
-選択されたチェインのルールを置き換える。 送信元や送信先の名前が複数のアドレスに展開された場合は、このコマンドは失敗する。 ルール番号は 1
-からはじまる。
-.TP
-\fB\-L\fP, \fB\-\-list\fP [\fIchain\fP]
-選択されたチェインにある全てのルールを一覧表示する。 チェインが指定されない場合、全てのチェインのリストが一覧表示される。
-他のコマンドと同様に、指定されたテーブル (デフォルトは filter) に対して作用する。 NAT ルールを表示するには以下のようにする。
-.nf
- iptables \-t nat \-n \-L
-.fi
-DNS の逆引きを避けるために、 \fB\-n\fP オプションと共に使用されることがよくある。 \fB\-Z\fP (ゼロクリア)
-オプションを同時に指定することもできる。 この場合、各チェインの表示とゼロクリアは同時に行われ、カウンタ値に抜けが発生することはない。
-細かな出力内容は同時に指定された他の引き数により変化する。 以下のように \fB\-v\fP オプションを指定しない限り、
-ルールの表示は一部省略されたものとなる。
-.nf
- iptables \-L \-v
-.fi
-.TP
-\fB\-S\fP, \fB\-\-list\-rules\fP [\fIchain\fP]
-選択されたチェインにある全てのルールを表示する。チェインが指定されない場合、 iptables\-save と同じく、 全てのチェインの情報が表示される。
-他のコマンド同様、 指定されたテーブル (デフォルトは filter) に対して作用する。
-.TP
-\fB\-F\fP, \fB\-\-flush\fP [\fIchain\fP]
-選択されたチェイン (何も指定されなければテーブル内の全てのチェイン) の内容を全消去する。これは全てのルールを 1 個ずつ削除するのと同じである。
-.TP
-\fB\-Z\fP, \fB\-\-zero\fP [\fIchain\fP [\fIrulenum\fP]]
-全てのチェインのパケットカウンタとバイトカウンタをゼロにする。 チェインやチェイン内のルールが指定された場合には、
-指定されたチェインやルールのカウンタだけをゼロにする。 クリアされる直前のカウンタを見るために、 \fB\-L\fP, \fB\-\-list\fP (一覧表示)
-オプションと同時に指定することもできる (上記を参照)。
-.TP
-\fB\-N\fP, \fB\-\-new\-chain\fP \fIchain\fP
-指定した名前のユーザー定義チェインを作成する。 同じ名前のターゲットが存在していてはならない。
-.TP
-\fB\-X\fP, \fB\-\-delete\-chain\fP [\fIchain\fP]
-指定したユーザー定義チェインを削除する。 そのチェインが参照されていてはならない。
-チェインを削除する前に、そのチェインを参照しているルールを削除するか、別のチェインを参照するようにしなければならない。
-チェインは空でなければならない、つまりチェインにルールが登録されていてはいけない。
-引き数が指定されなかった場合、テーブルにあるチェインのうち組み込みチェイン以外のものを全て削除する。
-.TP
-\fB\-P\fP, \fB\-\-policy\fP \fIchain target\fP
-チェインのポリシーを指定したターゲットに設定する。指定可能なターゲットは「\fBターゲット\fP」の章を参照すること。 (ユーザー定義ではない)
-組み込みチェインにしかポリシーは設定できない。 また、ポリシーのターゲットに、 組み込みチェインやユーザー定義チェインを設定することはできない。
-.TP
-\fB\-E\fP, \fB\-\-rename\-chain\fP \fIold\-chain new\-chain\fP
-ユーザー定義チェインを指定した名前に変更する。 これは見た目だけの変更なので、テーブルの構造には何も影響しない。
-.TP
-\fB\-h\fP
-ヘルプ。 (今のところはとても簡単な) コマンド書式の説明を表示する。
-.SS パラメータ
-以下のパラメータは (add, delete, insert, replace, append コマンドで用いられて) ルールの仕様を決める。
-.TP
-\fB\-4\fP, \fB\-\-ipv4\fP
-このオプションは iptables と iptables\-restore では効果を持たない。 \fB\-4\fP オプションを使ったルールを
-ip6tables\-restore で挿入された場合、(この場合に限り)
-そのルールは黙って無視される。それ以外の使い方をした場合はエラーが発生する。このオプションを使うと、 IPv4 と IPv6
-の両方のルールを一つのルールファイルに記述し、iptables\-restore と ip6tables\-restore
-の両方でそのファイルを使うことができる。
-.TP
-\fB\-6\fP, \fB\-\-ipv6\fP
-\fB\-6\fP オプションを使ったルールを iptables\-restore で挿入された場合、(この場合に限り)
-そのルールは黙って無視される。それ以外の使い方をした場合はエラーが発生する。このオプションを使うと、 IPv4 と IPv6
-の両方のルールを一つのルールファイルに記述し、iptables\-restore と ip6tables\-restore
-の両方でそのファイルを使うことができる。 このオプションは ip6tables と ip6tables\-restore では効果を持たない。
-.TP
-[\fB!\fP] \fB\-p\fP, \fB\-\-protocol\fP \fIprotocol\fP
-ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。 指定できるプロトコルは、 \fBtcp\fP, \fBudp\fP, \fBudplite\fP,
-\fBicmp\fP, \fBesp\fP, \fBah\fP, \fBsctp\fP と特別なキーワード \fBall\fP のいずれか 1 つか、または数値である。
-数値には、これらのプロトコルのどれか、またはそれ以外のプロトコルを表す数値を指定することができる。 /etc/protocols
-にあるプロトコル名も指定できる。 プロトコルの前に "!" を置くと、そのプロトコルを除外するという意味になる。 数値 0 は \fBall\fP と等しい。
-"\fBall\fP" は全てのプロトコルとマッチし、このオプションが省略された際のデフォルトである。 ip6tables では、 \fBesp\fP 以外の
-IPv6 拡張ヘッダは指定できない点に注意。 \fBesp\fP と \fBipv6\-nonext\fP はバージョン 2.6.11 以降のカーネルで使用できる。
-数値 0 は \fBall\fP と等しい。 これは、プロトコルフィールドが値 0 であるかを直接検査できないことを意味する。 HBH
-ヘッダとマッチさせるためには、 HBH ヘッダが例え最後にある場合であっても、 \fB\-p 0\fP を使うことはできず、必ず \fB\-m hbh\fP
-を使う必要がある。
-.TP
-[\fB!\fP] \fB\-s\fP, \fB\-\-source\fP \fIaddress\fP[\fB/\fP\fImask\fP][\fB,\fP\fI...\fP]
-送信元の指定。 \fIaddress\fP はホスト名、ネットワーク IP アドレス (\fB/\fP\fImask\fP を指定する)、通常の IP
-アドレスのいずれかである。ホスト名の解決は、カーネルにルールが登録される前に一度だけ行われる。 DNS
-のようなリモートへの問い合わせで解決する名前を指定するのは非常に良くないことである。 \fImask\fP には、IPv4 ネットワークマスクか
-(iptables の場合)、ネットワークマスクの左側にある 1 の数を表す数値を指定する。つまり、 \fI24\fP という iptables の mask
-は \fI255.255.255.0\fP と同じである。 アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。 フラグ
-\fB\-\-src\fP は、このオプションの別名である。複数のアドレスを指定することができるが、その場合は (\-A での追加であれば)
-\fB複数のルールに展開され\fP、 (\-D での削除であれば) 複数のルールが削除されることになる。
-.TP
-[\fB!\fP] \fB\-d\fP, \fB\-\-destination\fP \fIaddress\fP[\fB/\fP\fImask\fP][\fB,\fP\fI...\fP]
-宛先の指定。 書式の詳しい説明については、 \fB\-s\fP (送信元) フラグの説明を参照すること。 フラグ \fB\-\-dst\fP
-は、このオプションの別名である。
-.TP
-\fB\-m\fP, \fB\-\-match\fP \fImatch\fP
-使用するマッチ、つまり、特定の通信を検査する拡張モジュールを指定する。 マッチの集合により、ターゲットが起動される条件が構築される。
-マッチは先頭から末尾に向けてコマンドラインで指定された順に評価され、 短絡式 (short\-circuit fashion)
-の動作を行う、つまり、いずれの拡張モジュールが偽 (false) を返した場合、そこで評価は終了する。
-.TP
-\fB\-j\fP, \fB\-\-jump\fP \fItarget\fP
-ルールのターゲット、 つまり、 パケットがマッチした場合にどうするかを指定する。 ターゲットはユーザー定義チェイン
-(そのルール自身が入っているチェイン以外) でも、 パケットの行方を即時に決定する特別な組み込みターゲットでも、 拡張ターゲット (以下の
-「\fBターゲットの拡張\fP」 を参照) でもよい。 このオプションがルールの中で省略された場合 (かつ \fB\-g\fP が使用されなかった場合)、
-ルールにマッチしてもパケットの行方に何も影響しないが、 ルールのカウンタは 1 つ加算される。
-.TP
-\fB\-g\fP, \fB\-\-goto\fP \fIchain\fP
-ユーザー定義チェインで処理を継続することを指定する。 \-\-jump オプションと異なり、 return が行われた際にこのチェインでの処理は継続されず、
-\-\-jump でこのチェインを呼び出したチェインで処理が継続される。
-.TP
-[\fB!\fP] \fB\-i\fP, \fB\-\-in\-interface\fP \fIname\fP
-パケットが受信されたインターフェース名 (\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインに入るパケットのみ)。
-インターフェース名の前に "!" を置くと、 そのインターフェースを除外するという意味になる。 インターフェース名が "+" で終っている場合、
-その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、 任意のインターフェース名にマッチする。
-.TP
-[\fB!\fP] \fB\-o\fP, \fB\-\-out\-interface\fP \fIname\fP
-パケットを送信することになるインターフェース名 (\fBFORWARD\fP, \fBOUTPUT\fP, \fBPOSTROUTING\fP
-チェインに入るパケットのみ)。 インターフェース名の前に "!" を置くと、 そのインターフェースを除外するという意味になる。 インターフェース名が
-"+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、
-任意のインターフェース名にマッチする。
-.TP
-[\fB!\fP] \fB\-f\fP, \fB\-\-fragment\fP
-IPv4 の分割されたパケット (fragmented packet) のうち 2 番目以降のパケットだけを参照するルールであることを意味する。
-このようなパケット (または ICMP タイプのパケット) は 送信元ポートと宛先ポートを知る方法がないので、
-送信元ポートや宛先ポートを指定するようなルールにはマッチしない。 "\-f" フラグの前に "!" を置くと、
-分割されたパケットのうち最初のフラグメントか、 分割されていないパケットだけにマッチする。 このオプションは IPv4 固有であり、 ip6tables
-では利用できない。
-.TP
-\fB\-c\fP, \fB\-\-set\-counters\fP \fIpackets bytes\fP
-このオプションを使うと、 (\fBinsert\fP, \fBappend\fP, \fBreplace\fP 操作において) 管理者はパケットカウンタとバイトカウンタを
-初期化することができる。
-.SS その他のオプション
-その他に以下のオプションを指定することができる:
-.TP
-\fB\-v\fP, \fB\-\-verbose\fP
-詳細な出力を行う。 list コマンドの際に、 インターフェース名、 ルールのオプション (ある場合のみ)、 TOS マスクを表示させる。
-パケットとバイトカウンタも表示される。 添字 'K', 'M', 'G' は、 それぞれ 1000, 1,000,000, 1,000,000,000
-倍を表す (これを変更する \fB\-x\fP フラグも見よ)。 このオプションを append, insert, delete, replace
-コマンドに適用すると、 ルールについての詳細な情報を表示する。 \fB\-v\fP は複数回指定することができ、
-数が多くなるとより多くのデバッグ情報が出力される。
-.TP
-\fB\-w\fP, \fB\-\-wait\fP
-Wait for the xtables lock. To prevent multiple instances of the program
-from running concurrently, an attempt will be made to obtain an exclusive
-lock at launch. By default, the program will exit if the lock cannot be
-obtained. This option will make the program wait until the exclusive lock
-can be obtained.
-.TP
-\fB\-n\fP, \fB\-\-numeric\fP
-数値による出力を行う。 IP アドレスやポート番号を数値によるフォーマットで表示する。 デフォルトでは、iptables は (可能であれば) IP
-アドレスやポート番号をホスト名、ネットワーク名、サービス名で表示しようとする。
-.TP
-\fB\-x\fP, \fB\-\-exact\fP
-厳密な数値で表示する。 パケットカウンタとバイトカウンタを、 K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か)
-ではなく、 厳密な値で表示する。 このオプションは、 \fB\-L\fP コマンドの場合のみ意味がある。
-.TP
-\fB\-\-line\-numbers\fP
-ルールを一覧表示する際、 そのルールがチェインのどの位置にあるかを表す行番号を各行の始めに付加する。
-.TP
-\fB\-\-modprobe=\fP\fIcommand\fP
-チェインにルールを追加または挿入する際に、 (ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う \fIcommand\fP
-を指定する。
-.SH マッチングとターゲットの拡張
-.PP
-iptables は、パケットマッチングとターゲットの拡張を使うことができる。 \fBiptables\-extensions\fP(8) man
-ページに利用できる拡張のリストが載っている。
-.SH 返り値
-いろいろなエラーメッセージが標準エラーに表示される。 正常に動作した場合、 終了コードは 0 である。
-不正なコマンドラインパラメータによりエラーが発生した場合は、 終了コード 2 が返される。 その他のエラーの場合は、 終了コード 1 が返される。
-.SH バグ
-バグ? 何それ?? ;\-) http://bugzilla.netfilter.org/ を覗いてみるといいだろう。
-.SH "IPCHAINS との互換性"
-\fBiptables\fP は、Rusty Russell の ipchains と非常によく似ている。 大きな違いは、チェイン \fBINPUT\fP と
-\fBOUTPUT\fP が、それぞれローカルホストに入ってくるパケットと、 ローカルホストから出されるパケットのみしか調べないという点である。 よって、
-どのパケットも 3 つあるチェインのうち 1 つしか通らない (ただし、 ループバックトラフィックだけは例外で、 INPUT と OUTPUT
-の両方のチェインを通る)。 ipchains では、 フォワードされるパケットは 3 つのチェイン全てを通っていた。
-.PP
-その他の大きな違いは、 \fB\-i\fP で入力インターフェース、 \fB\-o\fP で出力インターフェースを表わし、 \fBFORWARD\fP
-チェインに入るパケットでは入出力両方のインターフェースが指定可能な点である。
-.PP
-NAT のいろいろな形式が分割された。 オプションの拡張モジュールと組み合わせて、デフォルトの「フィルタ」テーブルを用いた場合でも、
-\fBiptables\fP は純粋なパケットフィルタとなる。 これにより、 ipchains で見られた IP
-マスカレーディングとパケットフィルタリングの組み合せた場合に分かりにくかった点が分かりやすくなっている。
-そのため、以下のオプションを指定した場合の動作は違ったものになっている。
-.nf
- \-j MASQ
- \-M \-S
- \-M \-L
-.fi
-iptables では、その他にもいくつかの変更がある。
-.SH 関連項目
-\fBiptables\-apply\fP(8), \fBiptables\-save\fP(8), \fBiptables\-restore\fP(8),
-\fBiptables\-extensions\fP(8),
-.PP
-packet\-filtering\-HOWTO では、パケットフィルタリングについての詳細な iptables の使用法が説明されている。
-NAT\-HOWTO には NAT について詳しい説明がある。 netfilter\-extensions\-HOWTO では、
-標準的な配布には含まれない拡張の詳細が説明されている。 netfilter\-hacking\-HOWTO には、内部構造についての詳細な説明がある。
-.br
-\fBhttp://www.netfilter.org/\fP を参照。
-.SH 作者
-Rusty Russell が最初に iptables を書いた。初期の段階での Michael Neuling との議論の上で書かれた。
-.PP
-Marc Boucher は Rusty に iptables の汎用的なパケット選択のフレームワークを使うように働きかけて、 ipnatctl
-を使わないようにした。そして、mangle テーブル、所有者マッチング、 mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。
-.PP
-James Morris は TOS ターゲットと tos マッチングを書いた。
-.PP
-Jozsef Kadlecsik は REJECT ターゲットを書いた。
-.PP
-Harald Welte は ULOG ターゲット、NFQUEUE ターゲット、新しい libiptc や TTL, DSCP, ECN
-のマッチ・ターゲットを書いた。
-.PP
-Netfilter コアチームは、Martin Josefsson, Yasuyuki Kozakai, Jozsef Kadlecsik,
-Patrick McHardy, James Morris, Pablo Neira Ayuso, Harald Welte, Rusty
-Russell である。
-.PP
-.\" .. and did I mention that we are incredibly cool people?
-.\" .. sexy, too ..
-.\" .. witty, charming, powerful ..
-.\" .. and most of all, modest ..
-man ページは元々 Herve Eychenne <rv@wallfire.org> が書いた。
-.SH バージョン
-.PP
-この man ページは iptables/ip6tables 1.4.21 について説明している。
+++ /dev/null
-.TH IPTABLES-XML 1 "" "iptables 1.4.21" "iptables 1.4.21"
-.\"
-.\" Man page written by Sam Liddicott <azez@ufomechanic.net>
-.\" It is based on the iptables-save man page.
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH NAME
-iptables-xml \(em Convert iptables-save format to XML
-.SH SYNOPSIS
-\fBiptables\-xml\fP [\fB\-c\fP] [\fB\-v\fP]
-.SH DESCRIPTION
-.PP
-.B iptables-xml
-is used to convert the output of iptables-save into an easily manipulatable
-XML format to STDOUT. Use I/O-redirection provided by your shell to write to
-a file.
-.TP
-\fB\-c\fR, \fB\-\-combine\fR
-combine consecutive rules with the same matches but different targets. iptables
-does not currently support more than one target per match, so this simulates
-that by collecting the targets from consecutive iptables rules into one action
-tag, but only when the rule matches are identical. Terminating actions like
-RETURN, DROP, ACCEPT and QUEUE are not combined with subsequent targets.
-.TP
-\fB\-v\fR, \fB\-\-verbose\fR
-Output xml comments containing the iptables line from which the XML is derived
-
-.PP
-iptables-xml does a mechanistic conversion to a very expressive xml
-format; the only semantic considerations are for \-g and \-j targets in
-order to discriminate between <call> <goto> and <nane-of-target> as it
-helps xml processing scripts if they can tell the difference between a
-target like SNAT and another chain.
-
-Some sample output is:
-
-<iptables-rules>
- <table name="mangle">
- <chain name="PREROUTING" policy="ACCEPT" packet-count="63436"
-byte-count="7137573">
- <rule>
- <conditions>
- <match>
- <p>tcp</p>
- </match>
- <tcp>
- <sport>8443</sport>
- </tcp>
- </conditions>
- <actions>
- <call>
- <check_ip/>
- </call>
- <ACCEPT/>
- </actions>
- </rule>
- </chain>
- </table>
-</iptables-rules>
-
-.PP
-Conversion from XML to iptables-save format may be done using the
-iptables.xslt script and xsltproc, or a custom program using
-libxsltproc or similar; in this fashion:
-
-xsltproc iptables.xslt my-iptables.xml | iptables-restore
-
-.SH BUGS
-None known as of iptables-1.3.7 release
-.SH AUTHOR
-Sam Liddicott <azez@ufomechanic.net>
-.SH SEE ALSO
-\fBiptables\-save\fP(8), \fBiptables\-restore\fP(8), \fBiptables\fP(8)
+++ /dev/null
-.TH IPQ_CREATE_HANDLE 3 "16 October 2001" "Linux iptables 1.2" "Linux Programmer's Manual"
-.\"
-.\" Copyright (c) 2000-2001 Netfilter Core Team
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH NAME
-ipq_create_handle, ipq_destroy_handle \(em create and destroy libipq handles.
-.SH SYNOPSIS
-.B #include <linux/netfilter.h>
-.br
-.B #include <libipq.h>
-.sp
-.BI "struct ipq_handle *ipq_create_handle(u_int32_t " flags ", u_int32_t " protocol ");"
-.br
-.BI "int ipq_destroy_handle(struct ipq_handle *" h );
-.SH DESCRIPTION
-The
-.B ipq_create_handle
-function initialises libipq for an application, attempts to bind to the
-Netlink socket used by ip_queue, and returns an opaque context handle. It
-should be the first libipq function to be called by an application. The
-handle returned should be used in all subsequent library calls which
-require a handle parameter.
-.PP
-The
-.I flags
-parameter is not currently used and should be set to zero by the application
-for forward compatibility.
-.PP
-The
-.I protocol
-parameter is used to specify the protocol of the packets to be queued.
-Valid values are NFPROTO_IPV4 for IPv4 and NFPROTO_IPV6 for IPv6. Currently,
-only one protocol may be queued at a time for a handle.
-.PP
-The
-.B ipq_destroy_handle
-function frees up resources allocated by
-.BR ipq_create_handle ,
-and should be used when the handle is no longer required by the application.
-.SH RETURN VALUES
-On success,
-.B ipq_create_handle
-returns a pointer to a context handle.
-.br
-On failure, NULL is returned.
-.PP
-On success,
-.B ipq_destroy_handle
-returns zero.
-.br
-On failure, \-1 is returned.
-.SH ERRORS
-On failure, a descriptive error message will be available
-via the
-.B ipq_errstr
-function.
-.SH BUGS
-None known.
-.SH AUTHOR
-James Morris <jmorris@intercode.com.au>
-.SH COPYRIGHT
-Copyright (c) 2000-2001 Netfilter Core Team.
-.PP
-Distributed under the GNU General Public License.
-.SH SEE ALSO
-.BR iptables (8),
-.BR libipq (3).
+++ /dev/null
-.so man3/ipq_create_handle.3
+++ /dev/null
-.TH IPQ_ERRSTR 3 "16 October 2001" "Linux iptables 1.2" "Linux Programmer's Manual"
-.\"
-.\" Copyright (c) 2000 Netfilter Core Team
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH NAME
-ipq_errstr, ipq_perror \(em libipq error handling routines
-.SH SYNOPSIS
-.B #include <linux/netfilter.h>
-.br
-.B #include <libipq.h>
-.sp
-.BI "char *ipq_errstr(" void );
-.br
-.BI "void ipq_perror(const char *" s );
-.SH DESCRIPTION
-The
-.B ipq_errstr
-function returns a descriptive error message based on the current
-value of the internal
-.B ipq_errno
-variable. All libipq API functions set this internal variable
-upon failure.
-.PP
-The
-.B ipq_perror
-function prints an error message to stderr corresponding to the
-current value of the internal
-.B ipq_error
-variable, and the global
-.B errno
-variable (if set). The error message is prefixed with the string
-.I s
-as supplied by the application. If
-.I s
-is NULL, the error message is prefixed with the string "ERROR".
-.SH RETURN VALUE
-.B ipq_errstr
-returns an error message as outlined above.
-.SH BUGS
-None known.
-.SH AUTHOR
-James Morris <jmorris@intercode.com.au>
-.SH COPYRIGHT
-Copyright (c) 2000-2001 Netfilter Core Team.
-.PP
-Distributed under the GNU General Public License.
-.SH SEE ALSO
-.BR iptables (8),
-.BR libipq (3).
+++ /dev/null
-.so man3/ipq_message_type.3
+++ /dev/null
-.so man3/ipq_message_type.3
+++ /dev/null
-.TH IPQ_MESSAGE_TYPE 3 "16 October 2001" "Linux iptables 1.2" "Linux Programmer's Manual"
-.\"
-.\" Copyright (c) 2000-2001 Netfilter Core Team
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH NAME
-ipq_message_type, ipq_get_packet, ipq_getmsgerr \(em query queue messages
-.SH SYNOPSIS
-.B #include <linux/netfilter.h>
-.br
-.B #include <libipq.h>
-.sp
-.BI "int ipq_message_type(const unsigned char *" buf ");"
-.br
-.BI "ipq_packet_msg_t *ipq_get_packet(const unsigned char *" buf ");"
-.br
-.BI "int ipq_get_msgerr(const unsigned char *" buf ");"
-.SH DESCRIPTION
-The
-.B ipq_message_type
-function returns the type of queue message returned to userspace
-via
-.BR ipq_read .
-.PP
-.B ipq_message_type
-should always be called following a successful call to
-.B ipq_read
-to determine whether the message is a packet message or an
-error message. The
-.I buf
-parameter should be the same data obtained from
-the previous call to
-.BR ipq_read .
-.PP
-.B ipq_message_type
-will return one of the following values:
-.TP
-.B NLMSG_ERROR
-An error message generated by the Netlink transport.
-.PP
-.TP
-.B IPQM_PACKET
-A packet message containing packet metadata and optional packet payload data.
-.PP
-The
-.B ipq_get_packet
-function should be called if
-.B ipq_message_type
-returns
-.BR IPQM_PACKET .
-The
-.I buf
-parameter should point to the same data used for the call to
-.BR ipq_message_type .
-The pointer returned by
-.B ipq_get_packet
-points to a packet message, which is declared as follows:
-.PP
-.RS
-.nf
-typedef struct ipq_packet_msg {
- unsigned long packet_id; /* ID of queued packet */
- unsigned long mark; /* Netfilter mark value */
- long timestamp_sec; /* Packet arrival time (seconds) */
- long timestamp_usec; /* Packet arrvial time (+useconds) */
- unsigned int hook; /* Netfilter hook we rode in on */
- char indev_name[IFNAMSIZ]; /* Name of incoming interface */
- char outdev_name[IFNAMSIZ]; /* Name of outgoing interface */
- unsigned short hw_protocol; /* Hardware protocol (network order) */
- unsigned short hw_type; /* Hardware type */
- unsigned char hw_addrlen; /* Hardware address length */
- unsigned char hw_addr[8]; /* Hardware address */
- size_t data_len; /* Length of packet data */
- unsigned char payload[0]; /* Optional packet data */
-} ipq_packet_msg_t;
-.fi
-.RE
-.PP
-Each of these fields may be read by the application. If the queue mode
-is
-.B IPQ_COPY_PACKET
-and the
-.I data_len
-value is greater than zero, the packet payload contents may be accessed
-in the memory following the
-.B ipq_packet_msg_t
-structure to a range of
-.I data_len.
-.PP
-The
-.I packet_id
-field contains a packet identifier to be used when calling
-.BR ipq_set_verdict .
-.PP
-The
-.B ipq_get_msgerr
-function should be called if
-.B ipq_message_type
-returns
-.BR NLMSG_ERROR.
-The
-.I buf
-parameter should point to the same data used for the call to
-.BR ipq_message_type .
-The value returned by
-.B ipq_get_msgerr
-is set by higher level kernel code and corresponds to standard
-.B errno
-values.
-.SH BUGS
-None known.
-.SH AUTHOR
-James Morris <jmorris@intercode.com.au>
-.SH COPYRIGHT
-Copyright (c) 2000-2001 Netfilter Core Team.
-.PP
-Distributed under the GNU General Public License.
-.SH SEE ALSO
-.BR iptables (8),
-.BR libipq (3).
+++ /dev/null
-.so man3/ipq_errstr.3
+++ /dev/null
-.TH IPQ_READ 3 "16 October 2001" "Linux iptables 1.2" "Linux Programmer's Manual"
-.\"
-.\" Copyright (c) 2000-2001 Netfilter Core Team
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH NAME
-ipq_read \(em read queue messages from ip_queue and read into supplied buffer
-.SH SYNOPSIS
-.B #include <linux/netfilter.h>
-.br
-.B #include <libipq.h>
-.sp
-.BI "ssize_t ipq_read(const struct ipq_handle *" h ", unsigned char *" buf ", size_t " len ", int " timeout ");"
-.SH DESCRIPTION
-The
-.B ipq_read
-function reads a queue message from the kernel and copies it to
-the memory pointed to by
-.I buf
-to a maximum length of
-. IR len .
-.PP
-The
-.I h
-parameter is a context handle which must previously have been returned
-successfully from a call to
-.BR ipq_create_handle .
-.PP
-The caller is responsible for ensuring that the memory pointed to by
-.I buf
-is large enough to contain
-.I len
-bytes.
-.PP
-The
-.I timeout
-parameter may be used to set a timeout for the operation, specified in microseconds.
-This is implemented internally by the library via the
-.BR select
-system call. A value of zero provides normal, backwards-compatible blocking behaviour
-with no timeout. A negative value causes the function to return immediately.
-.PP
-Data returned via
-.I buf
-should not be accessed directly. Use the
-.BR ipq_message_type ,
-.BR ipq_get_packet ", and"
-.BR ipq_get_msgerr
-functions to access the queue message in the buffer.
-.SH RETURN VALUE
-On failure, \-1 is returned.
-.br
-On success, a non-zero positive value is returned when no timeout
-value is specified.
-.br
-On success with a timeout value specified, zero is returned if no data
-was available to read, or if a non-blocked signal was caught. In the
-latter case, the global
-.B errno
-value will be set to
-.BR EINTR .
-.SH ERRORS
-On error, a descriptive error message will be available
-via the
-.B ipq_errstr
-function.
-.SH DIAGNOSTICS
-While the
-.B ipq_read
-function may return successfully, the queue message copied to the buffer
-may itself be an error message from a higher level kernel component. Use
-.B ipq_message_type
-to determine if it is an error message, and
-.B ipq_get_msgerr
-to access the value of the message.
-.SH BUGS
-None known.
-.SH AUTHOR
-James Morris <jmorris@intercode.com.au>
-.SH COPYRIGHT
-Copyright (c) 2000-2001 Netfilter Core Team.
-.PP
-Distributed under the GNU General Public License.
-.SH CREDITS
-Joost Remijn implemented the timeout feature, which appeared in the 1.2.4 release of iptables.
-.SH SEE ALSO
-.BR iptables (8),
-.BR libipq (3),
-.BR select (2).
-
+++ /dev/null
-.TH IPQ_SET_MODE 3 "16 October 2001" "Linux iptables 1.2" "Linux Programmer's Manual"
-.\"
-.\" Copyright (c) 2000-2001 Netfilter Core Team
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH NAME
-ipq_set_mode \(em set the ip_queue queuing mode
-.SH SYNOPSIS
-.B #include <linux/netfilter.h>
-.br
-.B #include <libipq.h>
-.sp
-.BI "int ipq_set_mode(const struct ipq_handle *" h ", u_int8_t " mode ", size_t " range );
-.SH DESCRIPTION
-The
-.B ipq_set_mode
-function sends a message to the kernel ip_queue module, specifying whether
-packet metadata only, or packet payloads as well as metadata should be copied to
-userspace.
-.PP
-The
-.I h
-parameter is a context handle which must previously have been returned
-successfully from a call to
-.BR ipq_create_handle .
-.PP
-The
-.I mode
-parameter must be one of:
-.TP
-.B IPQ_COPY_META
-Copy only packet metadata to userspace.
-.TP
-.B IPQ_COPY_PACKET
-Copy packet metadata and packet payloads to userspace.
-.PP
-The
-.I range
-parameter is used to specify how many bytes of the payload to copy
-to userspace. It is only valid for
-.B IPQ_COPY_PACKET
-mode and is otherwise ignored. The maximum useful value for
-.I range
-is 65535 (greater values will be clamped to this by ip_queue).
-.PP
-.B ipq_set_mode
-is usually used immediately following
-.B ipq_create_handle
-to enable the flow of packets to userspace.
-.PP
-Note that as the underlying Netlink messaging transport is connectionless,
-the ip_queue module does not know that a userspace application is ready to
-communicate until it receives a message such as this.
-.SH RETURN VALUE
-On failure, \-1 is returned.
-.br
-On success, a non-zero positive value is returned.
-.SH ERRORS
-On failure, a descriptive error message will be available
-via the
-.B ipq_errstr
-function.
-.SH DIAGNOSTICS
-A relatively common failure may occur if the ip_queue module is not loaded.
-In this case, the following code excerpt:
-.PP
-.RS
-.nf
-status = ipq_set_mode(h, IPQ_COPY_META, 0);
-if (status < 0) {
- ipq_perror("myapp");
- ipq_destroy_handle(h);
- exit(1);
-}
-.RE
-.fi
-.PP
-would generate the following output:
-.PP
-.I myapp: Failed to send netlink message: Connection refused
-.SH BUGS
-None known.
-.SH AUTHOR
-James Morris <jmorris@intercode.com.au>
-.SH COPYRIGHT
-Copyright (c) 2000-2001 Netfilter Core Team.
-.PP
-Distributed under the GNU General Public License.
-.SH SEE ALSO
-.BR libipq (3),
-.BR iptables (8).
+++ /dev/null
-.TH IPQ_SET_VERDICT 3 "16 October 2001" "Linux iptables 1.2" "Linux Programmer's Manual"
-.\"
-.\" Copyright (c) 2000-2001 Netfilter Core Team
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH NAME
-ipq_set_verdict \(em issue verdict and optionally modified packet to kernel
-.SH SYNOPSIS
-.B #include <linux/netfilter.h>
-.br
-.B #include <libipq.h>
-.sp
-.BI "int ipq_set_verdict(const struct ipq_handle *" h ", ipq_id_t " id ", unsigned int " verdict ", size_t " data_len ", unsigned char *" buf ");"
-.SH DESCRIPTION
-The
-.B ipq_set_verdict
-function issues a verdict on a packet previously obtained with
-.BR ipq_read ,
-specifing the intended disposition of the packet, and optionally
-supplying a modified version of the payload data.
-.PP
-The
-.I h
-parameter is a context handle which must previously have been returned
-successfully from a call to
-.BR ipq_create_handle .
-.PP
-The
-.I id
-parameter is the packet identifier obtained via
-.BR ipq_get_packet .
-.PP
-The
-.I verdict
-parameter must be one of:
-.TP
-.B NF_ACCEPT
-Accept the packet and continue traversal within the kernel.
-.br
-.TP
-.B NF_DROP
-Drop the packet.
-.TP
-\fBNF_QUEUE\fP
-Requeue the packet.
-.PP
-\fBNF_STOLEN\fP and \fBNF_REPEAT\fP are kernel-internal constants and should
-not be used from userspace as their exact side effects have not been
-investigated.
-.PP
-The
-.I data_len
-parameter is the length of the data pointed to
-by
-.IR buf ,
-the optional replacement payload data.
-.PP
-If simply setting a verdict without modifying the payload data, use zero
-for
-.I data_len
-and NULL for
-.IR buf .
-.PP
-The application is responsible for recalculating any packet checksums
-when modifying packets.
-.SH RETURN VALUE
-On failure, \-1 is returned.
-.br
-On success, a non-zero positive value is returned.
-.SH ERRORS
-On error, a descriptive error message will be available
-via the
-.B ipq_errstr
-function.
-.SH BUGS
-None known.
-.SH AUTHOR
-James Morris <jmorris@intercode.com.au>
-.SH COPYRIGHT
-Copyright (c) 2000-2001 Netfilter Core Team.
-.PP
-Distributed under the GNU General Public License.
-.SH SEE ALSO
-.BR iptables (8),
-.BR libipq (3).
-
+++ /dev/null
-.TH LIBIPQ 3 "16 October 2001" "Linux iptables 1.2" "Linux Programmer's Manual"
-.\"
-.\" Copyright (c) 2000-2001 Netfilter Core Team
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH NAME
-libipq \(em iptables userspace packet queuing library.
-.SH SYNOPSIS
-.B #include <linux/netfilter.h>
-.br
-.B #include <libipq.h>
-.SH DESCRIPTION
-libipq is a development library for iptables userspace packet queuing.
-.SS Userspace Packet Queuing
-Netfilter provides a mechanism for passing packets out of the stack for
-queueing to userspace, then receiving these packets back into the kernel
-with a verdict specifying what to do with the packets (such as ACCEPT
-or DROP). These packets may also be modified in userspace prior to
-reinjection back into the kernel.
-.PP
-For each supported protocol, a kernel module called a
-.I queue handler
-may register with Netfilter to perform the mechanics of passing
-packets to and from userspace.
-.PP
-The standard queue handler for IPv4 is ip_queue. It is provided as an
-experimental module with 2.4 kernels, and uses a Netlink socket for
-kernel/userspace communication.
-.PP
-Once ip_queue is loaded, IP packets may be selected with iptables
-and queued for userspace processing via the QUEUE target. For example,
-running the following commands:
-.PP
- # modprobe iptable_filter
-.br
- # modprobe ip_queue
-.br
- # iptables \-A OUTPUT \-p icmp \-j QUEUE
-.PP
-will cause any locally generated ICMP packets (e.g. ping output) to
-be sent to the ip_queue module, which will then attempt to deliver the
-packets to a userspace application. If no userspace application is waiting,
-the packets will be dropped
-.PP
-An application may receive and process these packets via libipq.
-.PP
-.PP
-.SS Libipq Overview
-Libipq provides an API for communicating with ip_queue. The following is
-an overview of API usage, refer to individual man pages for more details
-on each function.
-.PP
-.B Initialisation
-.br
-To initialise the library, call
-.BR ipq_create_handle (3).
-This will attempt to bind to the Netlink socket used by ip_queue and
-return an opaque context handle for subsequent library calls.
-.PP
-.B Setting the Queue Mode
-.br
-.BR ipq_set_mode (3)
-allows the application to specify whether packet metadata, or packet
-payloads as well as metadata are copied to userspace. It is also used to
-initially notify ip_queue that an application is ready to receive queue
-messages.
-.PP
-.B Receiving Packets from the Queue
-.br
-.BR ipq_read (3)
-waits for queue messages to arrive from ip_queue and copies
-them into a supplied buffer.
-Queue messages may be
-.I packet messages
-or
-.I error messages.
-.PP
-The type of packet may be determined with
-.BR ipq_message_type (3).
-.PP
-If it's a packet message, the metadata and optional payload may be retrieved with
-.BR ipq_get_packet (3).
-.PP
-To retrieve the value of an error message, use
-.BR ipq_get_msgerr (3).
-.PP
-.B Issuing Verdicts on Packets
-.br
-To issue a verdict on a packet, and optionally return a modified version
-of the packet to the kernel, call
-.BR ipq_set_verdict (3).
-.PP
-.B Error Handling
-.br
-An error string corresponding to the current value of the internal error
-variable
-.B ipq_errno
-may be obtained with
-.BR ipq_errstr (3).
-.PP
-For simple applications, calling
-.BR ipq_perror (3)
-will print the same message as
-.BR ipq_errstr (3),
-as well as the string corresponding to the global
-.B errno
-value (if set) to stderr.
-.PP
-.B Cleaning Up
-.br
-To free up the Netlink socket and destroy resources associated with
-the context handle, call
-.BR ipq_destroy_handle (3).
-.SH SUMMARY
-.TP 4
-.BR ipq_create_handle (3)
-Initialise library, return context handle.
-.TP
-.BR ipq_set_mode (3)
-Set the queue mode, to copy either packet metadata, or payloads
-as well as metadata to userspace.
-.TP
-.BR ipq_read (3)
-Wait for a queue message to arrive from ip_queue and read it into
-a buffer.
-.TP
-.BR ipq_message_type (3)
-Determine message type in the buffer.
-.TP
-.BR ipq_get_packet (3)
-Retrieve a packet message from the buffer.
-.TP
-.BR ipq_get_msgerr (3)
-Retrieve an error message from the buffer.
-.TP
-.BR ipq_set_verdict (3)
-Set a verdict on a packet, optionally replacing its contents.
-.TP
-.BR ipq_errstr (3)
-Return an error message corresponding to the internal ipq_errno variable.
-.TP
-.BR ipq_perror (3)
-Helper function to print error messages to stderr.
-.TP
-.BR ipq_destroy_handle (3)
-Destroy context handle and associated resources.
-.SH EXAMPLE
-The following is an example of a simple application which receives
-packets and issues NF_ACCEPT verdicts on each packet.
-.RS
-.nf
-/*
- * This code is GPL.
- */
-#include <linux/netfilter.h>
-#include <libipq.h>
-#include <stdio.h>
-
-#define BUFSIZE 2048
-
-static void die(struct ipq_handle *h)
-{
- ipq_perror("passer");
- ipq_destroy_handle(h);
- exit(1);
-}
-
-int main(int argc, char **argv)
-{
- int status;
- unsigned char buf[BUFSIZE];
- struct ipq_handle *h;
-
- h = ipq_create_handle(0, NFPROTO_IPV4);
- if (!h)
- die(h);
-
- status = ipq_set_mode(h, IPQ_COPY_PACKET, BUFSIZE);
- if (status < 0)
- die(h);
-
- do{
- status = ipq_read(h, buf, BUFSIZE, 0);
- if (status < 0)
- die(h);
-
- switch (ipq_message_type(buf)) {
- case NLMSG_ERROR:
- fprintf(stderr, "Received error message %d\\n",
- ipq_get_msgerr(buf));
- break;
-
- case IPQM_PACKET: {
- ipq_packet_msg_t *m = ipq_get_packet(buf);
-
- status = ipq_set_verdict(h, m->packet_id,
- NF_ACCEPT, 0, NULL);
- if (status < 0)
- die(h);
- break;
- }
-
- default:
- fprintf(stderr, "Unknown message type!\\n");
- break;
- }
- } while (1);
-
- ipq_destroy_handle(h);
- return 0;
-}
-.RE
-.fi
-.PP
-Pointers to more libipq application examples may be found in The
-Netfilter FAQ.
-.SH DIAGNOSTICS
-For information about monitoring and tuning ip_queue, refer to the
-Linux 2.4 Packet Filtering HOWTO.
-.PP
-If an application modifies a packet, it needs to also update any
-checksums for the packet. Typically, the kernel will silently discard
-modified packets with invalid checksums.
-.SH SECURITY
-Processes require CAP_NET_ADMIN capabilty to access the kernel ip_queue
-module. Such processes can potentially access and modify any IP packets
-received, generated or forwarded by the kernel.
-.SH TODO
-Per-handle
-.B ipq_errno
-values.
-.SH BUGS
-Probably.
-.SH AUTHOR
-James Morris <jmorris@intercode.com.au>
-.SH COPYRIGHT
-Copyright (c) 2000-2001 Netfilter Core Team.
-.PP
-Distributed under the GNU General Public License.
-.SH CREDITS
-Joost Remijn implemented the
-.B ipq_read
-timeout feature, which appeared in the 1.2.4 release of iptables.
-.PP
-Fernando Anton added support for IPv6.
-.SH SEE ALSO
-.BR iptables (8),
-.BR ipq_create_handle (3),
-.BR ipq_destroy_handle (3),
-.BR ipq_errstr (3),
-.BR ipq_get_msgerr (3),
-.BR ipq_get_packet (3),
-.BR ipq_message_type (3),
-.BR ipq_perror (3),
-.BR ipq_read (3),
-.BR ipq_set_mode (3),
-.BR ipq_set_verdict (3).
-.PP
-The Netfilter home page at http://netfilter.samba.org/
-which has links to The Networking Concepts HOWTO, The Linux 2.4 Packet
-Filtering HOWTO, The Linux 2.4 NAT HOWTO, The Netfilter Hacking HOWTO,
-The Netfilter FAQ and many other useful resources.
-
+++ /dev/null
-.so man8/iptables-restore.8
+++ /dev/null
-.so man8/iptables-save.8
+++ /dev/null
-.so man8/iptables.8
+++ /dev/null
-.\" Title: iptables-apply
-.\" Author: Martin F. Krafft
-.\" Date: Jun 04, 2006
-.\"
-.TH IPTABLES\-APPLY 8 "" "iptables 1.4.21" "iptables 1.4.21"
-.\" disable hyphenation
-.nh
-.SH NAME
-iptables-apply \- a safer way to update iptables remotely
-.SH SYNOPSIS
-\fBiptables\-apply\fP [\-\fBhV\fP] [\fB-t\fP \fItimeout\fP] \fIruleset\-file\fP
-.SH "DESCRIPTION"
-.PP
-iptables\-apply will try to apply a new ruleset (as output by
-iptables\-save/read by iptables\-restore) to iptables, then prompt the
-user whether the changes are okay. If the new ruleset cut the existing
-connection, the user will not be able to answer affirmatively. In this
-case, the script rolls back to the previous ruleset after the timeout
-expired. The timeout can be set with \fB\-t\fP.
-.PP
-When called as \fBip6tables\-apply\fP, the script will use
-ip6tables\-save/\-restore instead.
-.SH OPTIONS
-.TP
-\fB\-t\fP \fIseconds\fR, \fB\-\-timeout\fP \fIseconds\fR
-Sets the timeout after which the script will roll back to the previous
-ruleset.
-.TP
-\fB\-h\fP, \fB\-\-help\fP
-Display usage information.
-.TP
-\fB\-V\fP, \fB\-\-version\fP
-Display version information.
-.SH "SEE ALSO"
-.PP
-\fBiptables-restore\fP(8), \fBiptables-save\fP(8), \fBiptables\fR(8).
-.SH LEGALESE
-.PP
-iptables\-apply is copyright by Martin F. Krafft.
-.PP
-This manual page was written by Martin F. Krafft <madduck@madduck.net>
-.PP
-Permission is granted to copy, distribute and/or modify this document
-under the terms of the Artistic License 2.0.
+++ /dev/null
-.TH iptables-extensions 8 "" "iptables 1.4.21" "iptables 1.4.21"
-.SH NAME
-iptables-extensions \(em list of extensions in the standard iptables distribution
-.SH SYNOPSIS
-\fBip6tables\fP [\fB\-m\fP \fIname\fP [\fImodule-options\fP...]]
-[\fB\-j\fP \fItarget-name\fP [\fItarget-options\fP...]
-.PP
-\fBiptables\fP [\fB\-m\fP \fIname\fP [\fImodule-options\fP...]]
-[\fB\-j\fP \fItarget-name\fP [\fItarget-options\fP...]
-.SH MATCH EXTENSIONS
-iptables can use extended packet matching modules
-with the \fB\-m\fP or \fB\-\-match\fP
-options, followed by the matching module name; after these, various
-extra command line options become available, depending on the specific
-module. You can specify multiple extended match modules in one line,
-and you can use the \fB\-h\fP or \fB\-\-help\fP
-options after the module has been specified to receive help specific
-to that module. The extended match modules are evaluated in the order
-they are specified in the rule.
-.PP
-If the \fB\-p\fP or \fB\-\-protocol\fP was specified and if and only if an
-unknown option is encountered, iptables will try load a match module of the
-same name as the protocol, to try making the option available.
-.\" @MATCH@
-.SS addrtype
-This module matches packets based on their
-.B address type.
-Address types are used within the kernel networking stack and categorize
-addresses into various groups. The exact definition of that group depends on the specific layer three protocol.
-.PP
-The following address types are possible:
-.TP
-.BI "UNSPEC"
-an unspecified address (i.e. 0.0.0.0)
-.TP
-.BI "UNICAST"
-an unicast address
-.TP
-.BI "LOCAL"
-a local address
-.TP
-.BI "BROADCAST"
-a broadcast address
-.TP
-.BI "ANYCAST"
-an anycast packet
-.TP
-.BI "MULTICAST"
-a multicast address
-.TP
-.BI "BLACKHOLE"
-a blackhole address
-.TP
-.BI "UNREACHABLE"
-an unreachable address
-.TP
-.BI "PROHIBIT"
-a prohibited address
-.TP
-.BI "THROW"
-FIXME
-.TP
-.BI "NAT"
-FIXME
-.TP
-.BI "XRESOLVE"
-.TP
-[\fB!\fP] \fB\-\-src\-type\fP \fItype\fP
-Matches if the source address is of given type
-.TP
-[\fB!\fP] \fB\-\-dst\-type\fP \fItype\fP
-Matches if the destination address is of given type
-.TP
-.BI "\-\-limit\-iface\-in"
-The address type checking can be limited to the interface the packet is coming
-in. This option is only valid in the
-.BR PREROUTING ,
-.B INPUT
-and
-.B FORWARD
-chains. It cannot be specified with the
-\fB\-\-limit\-iface\-out\fP
-option.
-.TP
-\fB\-\-limit\-iface\-out\fP
-The address type checking can be limited to the interface the packet is going
-out. This option is only valid in the
-.BR POSTROUTING ,
-.B OUTPUT
-and
-.B FORWARD
-chains. It cannot be specified with the
-\fB\-\-limit\-iface\-in\fP
-option.
-.SS ah (IPv6-specific)
-This module matches the parameters in Authentication header of IPsec packets.
-.TP
-[\fB!\fP] \fB\-\-ahspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
-Matches SPI.
-.TP
-[\fB!\fP] \fB\-\-ahlen\fP \fIlength\fP
-Total length of this header in octets.
-.TP
-\fB\-\-ahres\fP
-Matches if the reserved field is filled with zero.
-.SS ah (IPv4-specific)
-This module matches the SPIs in Authentication header of IPsec packets.
-.TP
-[\fB!\fP] \fB\-\-ahspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
-.SS bpf
-Match using Linux Socket Filter. Expects a BPF program in decimal format. This
-is the format generated by the \fBnfbpf_compile\fP utility.
-.TP
-\fB\-\-bytecode\fP \fIcode\fP
-Pass the BPF byte code format (described in the example below).
-.PP
-The code format is similar to the output of the tcpdump -ddd command: one line
-that stores the number of instructions, followed by one line for each
-instruction. Instruction lines follow the pattern 'u16 u8 u8 u32' in decimal
-notation. Fields encode the operation, jump offset if true, jump offset if
-false and generic multiuse field 'K'. Comments are not supported.
-.PP
-For example, to read only packets matching 'ip proto 6', insert the following,
-without the comments or trailing whitespace:
-.IP
-4 # number of instructions
-.br
-48 0 0 9 # load byte ip->proto
-.br
-21 0 1 6 # jump equal IPPROTO_TCP
-.br
-6 0 0 1 # return pass (non-zero)
-.br
-6 0 0 0 # return fail (zero)
-.PP
-You can pass this filter to the bpf match with the following command:
-.IP
-iptables \-A OUTPUT \-m bpf \-\-bytecode '4,48 0 0 9,21 0 1 6,6 0 0 1,6 0 0 0' \-j ACCEPT
-.PP
-Or instead, you can invoke the nfbpf_compile utility.
-.IP
-iptables \-A OUTPUT \-m bpf \-\-bytecode "`nfbpf_compile RAW 'ip proto 6'`" \-j ACCEPT
-.PP
-You may want to learn more about BPF from FreeBSD's bpf(4) manpage.
-.SS cluster
-Allows you to deploy gateway and back-end load-sharing clusters without the
-need of load-balancers.
-.PP
-This match requires that all the nodes see the same packets. Thus, the cluster
-match decides if this node has to handle a packet given the following options:
-.TP
-\fB\-\-cluster\-total\-nodes\fP \fInum\fP
-Set number of total nodes in cluster.
-.TP
-[\fB!\fP] \fB\-\-cluster\-local\-node\fP \fInum\fP
-Set the local node number ID.
-.TP
-[\fB!\fP] \fB\-\-cluster\-local\-nodemask\fP \fImask\fP
-Set the local node number ID mask. You can use this option instead
-of \fB\-\-cluster\-local\-node\fP.
-.TP
-\fB\-\-cluster\-hash\-seed\fP \fIvalue\fP
-Set seed value of the Jenkins hash.
-.PP
-Example:
-.IP
-iptables \-A PREROUTING \-t mangle \-i eth1 \-m cluster
-\-\-cluster\-total\-nodes 2 \-\-cluster\-local\-node 1
-\-\-cluster\-hash\-seed 0xdeadbeef
-\-j MARK \-\-set-mark 0xffff
-.IP
-iptables \-A PREROUTING \-t mangle \-i eth2 \-m cluster
-\-\-cluster\-total\-nodes 2 \-\-cluster\-local\-node 1
-\-\-cluster\-hash\-seed 0xdeadbeef
-\-j MARK -\-set\-mark 0xffff
-.IP
-iptables \-A PREROUTING \-t mangle \-i eth1
-\-m mark ! \-\-mark 0xffff \-j DROP
-.IP
-iptables \-A PREROUTING \-t mangle \-i eth2
-\-m mark ! \-\-mark 0xffff \-j DROP
-.PP
-And the following commands to make all nodes see the same packets:
-.IP
-ip maddr add 01:00:5e:00:01:01 dev eth1
-.IP
-ip maddr add 01:00:5e:00:01:02 dev eth2
-.IP
-arptables \-A OUTPUT \-o eth1 \-\-h\-length 6
-\-j mangle \-\-mangle-mac-s 01:00:5e:00:01:01
-.IP
-arptables \-A INPUT \-i eth1 \-\-h-length 6
-\-\-destination-mac 01:00:5e:00:01:01
-\-j mangle \-\-mangle\-mac\-d 00:zz:yy:xx:5a:27
-.IP
-arptables \-A OUTPUT \-o eth2 \-\-h\-length 6
-\-j mangle \-\-mangle\-mac\-s 01:00:5e:00:01:02
-.IP
-arptables \-A INPUT \-i eth2 \-\-h\-length 6
-\-\-destination\-mac 01:00:5e:00:01:02
-\-j mangle \-\-mangle\-mac\-d 00:zz:yy:xx:5a:27
-.PP
-\fBNOTE\fP: the arptables commands above use mainstream syntax. If you
-are using arptables-jf included in some RedHat, CentOS and Fedora
-versions, you will hit syntax errors. Therefore, you'll have to adapt
-these to the arptables-jf syntax to get them working.
-.PP
-In the case of TCP connections, pickup facility has to be disabled
-to avoid marking TCP ACK packets coming in the reply direction as
-valid.
-.IP
-echo 0 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose
-.SS comment
-Allows you to add comments (up to 256 characters) to any rule.
-.TP
-\fB\-\-comment\fP \fIcomment\fP
-.TP
-Example:
-iptables \-A INPUT \-i eth1 \-m comment \-\-comment "my local LAN"
-.SS connbytes
-Match by how many bytes or packets a connection (or one of the two
-flows constituting the connection) has transferred so far, or by
-average bytes per packet.
-.PP
-The counters are 64-bit and are thus not expected to overflow ;)
-.PP
-The primary use is to detect long-lived downloads and mark them to be
-scheduled using a lower priority band in traffic control.
-.PP
-The transferred bytes per connection can also be viewed through
-`conntrack \-L` and accessed via ctnetlink.
-.PP
-NOTE that for connections which have no accounting information, the match will
-always return false. The "net.netfilter.nf_conntrack_acct" sysctl flag controls
-whether \fBnew\fP connections will be byte/packet counted. Existing connection
-flows will not be gaining/losing a/the accounting structure when be sysctl flag
-is flipped.
-.TP
-[\fB!\fP] \fB\-\-connbytes\fP \fIfrom\fP[\fB:\fP\fIto\fP]
-match packets from a connection whose packets/bytes/average packet
-size is more than FROM and less than TO bytes/packets. if TO is
-omitted only FROM check is done. "!" is used to match packets not
-falling in the range.
-.TP
-\fB\-\-connbytes\-dir\fP {\fBoriginal\fP|\fBreply\fP|\fBboth\fP}
-which packets to consider
-.TP
-\fB\-\-connbytes\-mode\fP {\fBpackets\fP|\fBbytes\fP|\fBavgpkt\fP}
-whether to check the amount of packets, number of bytes transferred or
-the average size (in bytes) of all packets received so far. Note that
-when "both" is used together with "avgpkt", and data is going (mainly)
-only in one direction (for example HTTP), the average packet size will
-be about half of the actual data packets.
-.TP
-Example:
-iptables .. \-m connbytes \-\-connbytes 10000:100000 \-\-connbytes\-dir both \-\-connbytes\-mode bytes ...
-.SS connlimit
-Allows you to restrict the number of parallel connections to a server per
-client IP address (or client address block).
-.TP
-\fB\-\-connlimit\-upto\fP \fIn\fP
-Match if the number of existing connections is below or equal \fIn\fP.
-.TP
-\fB\-\-connlimit\-above\fP \fIn\fP
-Match if the number of existing connections is above \fIn\fP.
-.TP
-\fB\-\-connlimit\-mask\fP \fIprefix_length\fP
-Group hosts using the prefix length. For IPv4, this must be a number between
-(including) 0 and 32. For IPv6, between 0 and 128. If not specified, the
-maximum prefix length for the applicable protocol is used.
-.TP
-\fB\-\-connlimit\-saddr\fP
-Apply the limit onto the source group. This is the default if
-\-\-connlimit\-daddr is not specified.
-.TP
-\fB\-\-connlimit\-daddr\fP
-Apply the limit onto the destination group.
-.PP
-Examples:
-.TP
-# allow 2 telnet connections per client host
-iptables \-A INPUT \-p tcp \-\-syn \-\-dport 23 \-m connlimit \-\-connlimit\-above 2 \-j REJECT
-.TP
-# you can also match the other way around:
-iptables \-A INPUT \-p tcp \-\-syn \-\-dport 23 \-m connlimit \-\-connlimit\-upto 2 \-j ACCEPT
-.TP
-# limit the number of parallel HTTP requests to 16 per class C sized \
-source network (24 bit netmask)
-iptables \-p tcp \-\-syn \-\-dport 80 \-m connlimit \-\-connlimit\-above 16
-\-\-connlimit\-mask 24 \-j REJECT
-.TP
-# limit the number of parallel HTTP requests to 16 for the link local network
-(ipv6)
-ip6tables \-p tcp \-\-syn \-\-dport 80 \-s fe80::/64 \-m connlimit \-\-connlimit\-above
-16 \-\-connlimit\-mask 64 \-j REJECT
-.TP
-# Limit the number of connections to a particular host:
-ip6tables \-p tcp \-\-syn \-\-dport 49152:65535 \-d 2001:db8::1 \-m connlimit
-\-\-connlimit-above 100 \-j REJECT
-.SS connmark
-This module matches the netfilter mark field associated with a connection
-(which can be set using the \fBCONNMARK\fP target below).
-.TP
-[\fB!\fP] \fB\-\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Matches packets in connections with the given mark value (if a mask is
-specified, this is logically ANDed with the mark before the comparison).
-.SS conntrack
-This module, when combined with connection tracking, allows access to the
-connection tracking state for this packet/connection.
-.TP
-[\fB!\fP] \fB\-\-ctstate\fP \fIstatelist\fP
-\fIstatelist\fP is a comma separated list of the connection states to match.
-Possible states are listed below.
-.TP
-[\fB!\fP] \fB\-\-ctproto\fP \fIl4proto\fP
-Layer-4 protocol to match (by number or name)
-.TP
-[\fB!\fP] \fB\-\-ctorigsrc\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-.TP
-[\fB!\fP] \fB\-\-ctorigdst\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-.TP
-[\fB!\fP] \fB\-\-ctreplsrc\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-.TP
-[\fB!\fP] \fB\-\-ctrepldst\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-Match against original/reply source/destination address
-.TP
-[\fB!\fP] \fB\-\-ctorigsrcport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-ctorigdstport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-ctreplsrcport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-ctrepldstport\fP \fIport\fP[\fB:\fP\fIport\fP]
-Match against original/reply source/destination port (TCP/UDP/etc.) or GRE key.
-Matching against port ranges is only supported in kernel versions above 2.6.38.
-.TP
-[\fB!\fP] \fB\-\-ctstatus\fP \fIstatelist\fP
-\fIstatuslist\fP is a comma separated list of the connection statuses to match.
-Possible statuses are listed below.
-.TP
-[\fB!\fP] \fB\-\-ctexpire\fP \fItime\fP[\fB:\fP\fItime\fP]
-Match remaining lifetime in seconds against given value or range of values
-(inclusive)
-.TP
-\fB\-\-ctdir\fP {\fBORIGINAL\fP|\fBREPLY\fP}
-Match packets that are flowing in the specified direction. If this flag is not
-specified at all, matches packets in both directions.
-.PP
-States for \fB\-\-ctstate\fP:
-.TP
-\fBINVALID\fP
-The packet is associated with no known connection.
-.TP
-\fBNEW\fP
-The packet has started a new connection or otherwise associated
-with a connection which has not seen packets in both directions.
-.TP
-\fBESTABLISHED\fP
-The packet is associated with a connection which has seen packets
-in both directions.
-.TP
-\fBRELATED\fP
-The packet is starting a new connection, but is associated with an
-existing connection, such as an FTP data transfer or an ICMP error.
-.TP
-\fBUNTRACKED\fP
-The packet is not tracked at all, which happens if you explicitly untrack it
-by using \-j CT \-\-notrack in the raw table.
-.TP
-\fBSNAT\fP
-A virtual state, matching if the original source address differs from the reply
-destination.
-.TP
-\fBDNAT\fP
-A virtual state, matching if the original destination differs from the reply
-source.
-.PP
-Statuses for \fB\-\-ctstatus\fP:
-.TP
-\fBNONE\fP
-None of the below.
-.TP
-\fBEXPECTED\fP
-This is an expected connection (i.e. a conntrack helper set it up).
-.TP
-\fBSEEN_REPLY\fP
-Conntrack has seen packets in both directions.
-.TP
-\fBASSURED\fP
-Conntrack entry should never be early-expired.
-.TP
-\fBCONFIRMED\fP
-Connection is confirmed: originating packet has left box.
-.SS cpu
-.TP
-[\fB!\fP] \fB\-\-cpu\fP \fInumber\fP
-Match cpu handling this packet. cpus are numbered from 0 to NR_CPUS-1
-Can be used in combination with RPS (Remote Packet Steering) or
-multiqueue NICs to spread network traffic on different queues.
-.PP
-Example:
-.PP
-iptables \-t nat \-A PREROUTING \-p tcp \-\-dport 80 \-m cpu \-\-cpu 0
-\-j REDIRECT \-\-to\-port 8080
-.PP
-iptables \-t nat \-A PREROUTING \-p tcp \-\-dport 80 \-m cpu \-\-cpu 1
-\-j REDIRECT \-\-to\-port 8081
-.PP
-Available since Linux 2.6.36.
-.SS dccp
-.TP
-[\fB!\fP] \fB\-\-source\-port\fP,\fB\-\-sport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-destination\-port\fP,\fB\-\-dport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-dccp\-types\fP \fImask\fP
-Match when the DCCP packet type is one of 'mask'. 'mask' is a comma-separated
-list of packet types. Packet types are:
-.BR "REQUEST RESPONSE DATA ACK DATAACK CLOSEREQ CLOSE RESET SYNC SYNCACK INVALID" .
-.TP
-[\fB!\fP] \fB\-\-dccp\-option\fP \fInumber\fP
-Match if DCCP option set.
-.SS devgroup
-Match device group of a packets incoming/outgoing interface.
-.TP
-[\fB!\fP] \fB\-\-src\-group\fP \fIname\fP
-Match device group of incoming device
-.TP
-[\fB!\fP] \fB\-\-dst\-group\fP \fIname\fP
-Match device group of outgoing device
-.SS dscp
-This module matches the 6 bit DSCP field within the TOS field in the
-IP header. DSCP has superseded TOS within the IETF.
-.TP
-[\fB!\fP] \fB\-\-dscp\fP \fIvalue\fP
-Match against a numeric (decimal or hex) value [0-63].
-.TP
-[\fB!\fP] \fB\-\-dscp\-class\fP \fIclass\fP
-Match the DiffServ class. This value may be any of the
-BE, EF, AFxx or CSx classes. It will then be converted
-into its according numeric value.
-.SS dst (IPv6-specific)
-This module matches the parameters in Destination Options header
-.TP
-[\fB!\fP] \fB\-\-dst\-len\fP \fIlength\fP
-Total length of this header in octets.
-.TP
-\fB\-\-dst\-opts\fP \fItype\fP[\fB:\fP\fIlength\fP][\fB,\fP\fItype\fP[\fB:\fP\fIlength\fP]...]
-numeric type of option and the length of the option data in octets.
-.SS ecn
-This allows you to match the ECN bits of the IPv4/IPv6 and TCP header. ECN is the Explicit Congestion Notification mechanism as specified in RFC3168
-.TP
-[\fB!\fP] \fB\-\-ecn\-tcp\-cwr\fP
-This matches if the TCP ECN CWR (Congestion Window Received) bit is set.
-.TP
-[\fB!\fP] \fB\-\-ecn\-tcp\-ece\fP
-This matches if the TCP ECN ECE (ECN Echo) bit is set.
-.TP
-[\fB!\fP] \fB\-\-ecn\-ip\-ect\fP \fInum\fP
-This matches a particular IPv4/IPv6 ECT (ECN-Capable Transport). You have to specify
-a number between `0' and `3'.
-.SS esp
-This module matches the SPIs in ESP header of IPsec packets.
-.TP
-[\fB!\fP] \fB\-\-espspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
-.SS eui64 (IPv6-specific)
-This module matches the EUI-64 part of a stateless autoconfigured IPv6 address.
-It compares the EUI-64 derived from the source MAC address in Ethernet frame
-with the lower 64 bits of the IPv6 source address. But "Universal/Local"
-bit is not compared. This module doesn't match other link layer frame, and
-is only valid in the
-.BR PREROUTING ,
-.BR INPUT
-and
-.BR FORWARD
-chains.
-.SS frag (IPv6-specific)
-This module matches the parameters in Fragment header.
-.TP
-[\fB!\fP] \fB\-\-fragid\fP \fIid\fP[\fB:\fP\fIid\fP]
-Matches the given Identification or range of it.
-.TP
-[\fB!\fP] \fB\-\-fraglen\fP \fIlength\fP
-This option cannot be used with kernel version 2.6.10 or later. The length of
-Fragment header is static and this option doesn't make sense.
-.TP
-\fB\-\-fragres\fP
-Matches if the reserved fields are filled with zero.
-.TP
-\fB\-\-fragfirst\fP
-Matches on the first fragment.
-.TP
-\fB\-\-fragmore\fP
-Matches if there are more fragments.
-.TP
-\fB\-\-fraglast\fP
-Matches if this is the last fragment.
-.SS hashlimit
-\fBhashlimit\fP uses hash buckets to express a rate limiting match (like the
-\fBlimit\fP match) for a group of connections using a \fBsingle\fP iptables
-rule. Grouping can be done per-hostgroup (source and/or destination address)
-and/or per-port. It gives you the ability to express "\fIN\fP packets per time
-quantum per group" or "\fIN\fP bytes per seconds" (see below for some examples).
-.PP
-A hash limit option (\fB\-\-hashlimit\-upto\fP, \fB\-\-hashlimit\-above\fP) and
-\fB\-\-hashlimit\-name\fP are required.
-.TP
-\fB\-\-hashlimit\-upto\fP \fIamount\fP[\fB/second\fP|\fB/minute\fP|\fB/hour\fP|\fB/day\fP]
-Match if the rate is below or equal to \fIamount\fP/quantum. It is specified either as
-a number, with an optional time quantum suffix (the default is 3/hour), or as
-\fIamount\fPb/second (number of bytes per second).
-.TP
-\fB\-\-hashlimit\-above\fP \fIamount\fP[\fB/second\fP|\fB/minute\fP|\fB/hour\fP|\fB/day\fP]
-Match if the rate is above \fIamount\fP/quantum.
-.TP
-\fB\-\-hashlimit\-burst\fP \fIamount\fP
-Maximum initial number of packets to match: this number gets recharged by one
-every time the limit specified above is not reached, up to this number; the
-default is 5. When byte-based rate matching is requested, this option specifies
-the amount of bytes that can exceed the given rate. This option should be used
-with caution -- if the entry expires, the burst value is reset too.
-.TP
-\fB\-\-hashlimit\-mode\fP {\fBsrcip\fP|\fBsrcport\fP|\fBdstip\fP|\fBdstport\fP}\fB,\fP...
-A comma-separated list of objects to take into consideration. If no
-\-\-hashlimit\-mode option is given, hashlimit acts like limit, but at the
-expensive of doing the hash housekeeping.
-.TP
-\fB\-\-hashlimit\-srcmask\fP \fIprefix\fP
-When \-\-hashlimit\-mode srcip is used, all source addresses encountered will be
-grouped according to the given prefix length and the so-created subnet will be
-subject to hashlimit. \fIprefix\fP must be between (inclusive) 0 and 32. Note
-that \-\-hashlimit\-srcmask 0 is basically doing the same thing as not specifying
-srcip for \-\-hashlimit\-mode, but is technically more expensive.
-.TP
-\fB\-\-hashlimit\-dstmask\fP \fIprefix\fP
-Like \-\-hashlimit\-srcmask, but for destination addresses.
-.TP
-\fB\-\-hashlimit\-name\fP \fIfoo\fP
-The name for the /proc/net/ipt_hashlimit/foo entry.
-.TP
-\fB\-\-hashlimit\-htable\-size\fP \fIbuckets\fP
-The number of buckets of the hash table
-.TP
-\fB\-\-hashlimit\-htable\-max\fP \fIentries\fP
-Maximum entries in the hash.
-.TP
-\fB\-\-hashlimit\-htable\-expire\fP \fImsec\fP
-After how many milliseconds do hash entries expire.
-.TP
-\fB\-\-hashlimit\-htable\-gcinterval\fP \fImsec\fP
-How many milliseconds between garbage collection intervals.
-.PP
-Examples:
-.TP
-matching on source host
-"1000 packets per second for every host in 192.168.0.0/16" =>
-\-s 192.168.0.0/16 \-\-hashlimit\-mode srcip \-\-hashlimit\-upto 1000/sec
-.TP
-matching on source port
-"100 packets per second for every service of 192.168.1.1" =>
-\-s 192.168.1.1 \-\-hashlimit\-mode srcport \-\-hashlimit\-upto 100/sec
-.TP
-matching on subnet
-"10000 packets per minute for every /28 subnet (groups of 8 addresses)
-in 10.0.0.0/8" =>
-\-s 10.0.0.0/8 \-\-hashlimit\-mask 28 \-\-hashlimit\-upto 10000/min
-.TP
-matching bytes per second
-"flows exceeding 512kbyte/s" =>
-\-\-hashlimit-mode srcip,dstip,srcport,dstport \-\-hashlimit\-above 512kb/s
-.TP
-matching bytes per second
-"hosts that exceed 512kbyte/s, but permit up to 1Megabytes without matching"
-\-\-hashlimit-mode dstip \-\-hashlimit\-above 512kb/s \-\-hashlimit-burst 1mb
-.SS hbh (IPv6-specific)
-This module matches the parameters in Hop-by-Hop Options header
-.TP
-[\fB!\fP] \fB\-\-hbh\-len\fP \fIlength\fP
-Total length of this header in octets.
-.TP
-\fB\-\-hbh\-opts\fP \fItype\fP[\fB:\fP\fIlength\fP][\fB,\fP\fItype\fP[\fB:\fP\fIlength\fP]...]
-numeric type of option and the length of the option data in octets.
-.SS helper
-This module matches packets related to a specific conntrack-helper.
-.TP
-[\fB!\fP] \fB\-\-helper\fP \fIstring\fP
-Matches packets related to the specified conntrack-helper.
-.RS
-.PP
-string can be "ftp" for packets related to a ftp-session on default port.
-For other ports append \-portnr to the value, ie. "ftp\-2121".
-.PP
-Same rules apply for other conntrack-helpers.
-.RE
-.SS hl (IPv6-specific)
-This module matches the Hop Limit field in the IPv6 header.
-.TP
-[\fB!\fP] \fB\-\-hl\-eq\fP \fIvalue\fP
-Matches if Hop Limit equals \fIvalue\fP.
-.TP
-\fB\-\-hl\-lt\fP \fIvalue\fP
-Matches if Hop Limit is less than \fIvalue\fP.
-.TP
-\fB\-\-hl\-gt\fP \fIvalue\fP
-Matches if Hop Limit is greater than \fIvalue\fP.
-.SS icmp (IPv4-specific)
-This extension can be used if `\-\-protocol icmp' is specified. It
-provides the following option:
-.TP
-[\fB!\fP] \fB\-\-icmp\-type\fP {\fItype\fP[\fB/\fP\fIcode\fP]|\fItypename\fP}
-This allows specification of the ICMP type, which can be a numeric
-ICMP type, type/code pair, or one of the ICMP type names shown by the command
-.nf
- iptables \-p icmp \-h
-.fi
-.SS icmp6 (IPv6-specific)
-This extension can be used if `\-\-protocol ipv6\-icmp' or `\-\-protocol icmpv6' is
-specified. It provides the following option:
-.TP
-[\fB!\fP] \fB\-\-icmpv6\-type\fP \fItype\fP[\fB/\fP\fIcode\fP]|\fItypename\fP
-This allows specification of the ICMPv6 type, which can be a numeric
-ICMPv6
-.IR type ,
-.IR type
-and
-.IR code ,
-or one of the ICMPv6 type names shown by the command
-.nf
- ip6tables \-p ipv6\-icmp \-h
-.fi
-.SS iprange
-This matches on a given arbitrary range of IP addresses.
-.TP
-[\fB!\fP] \fB\-\-src\-range\fP \fIfrom\fP[\fB\-\fP\fIto\fP]
-Match source IP in the specified range.
-.TP
-[\fB!\fP] \fB\-\-dst\-range\fP \fIfrom\fP[\fB\-\fP\fIto\fP]
-Match destination IP in the specified range.
-.SS ipv6header (IPv6-specific)
-This module matches IPv6 extension headers and/or upper layer header.
-.TP
-\fB\-\-soft\fP
-Matches if the packet includes \fBany\fP of the headers specified with
-\fB\-\-header\fP.
-.TP
-[\fB!\fP] \fB\-\-header\fP \fIheader\fP[\fB,\fP\fIheader\fP...]
-Matches the packet which EXACTLY includes all specified headers. The headers
-encapsulated with ESP header are out of scope.
-Possible \fIheader\fP types can be:
-.TP
-\fBhop\fP|\fBhop\-by\-hop\fP
-Hop-by-Hop Options header
-.TP
-\fBdst\fP
-Destination Options header
-.TP
-\fBroute\fP
-Routing header
-.TP
-\fBfrag\fP
-Fragment header
-.TP
-\fBauth\fP
-Authentication header
-.TP
-\fBesp\fP
-Encapsulating Security Payload header
-.TP
-\fBnone\fP
-No Next header which matches 59 in the 'Next Header field' of IPv6 header or
-any IPv6 extension headers
-.TP
-\fBproto\fP
-which matches any upper layer protocol header. A protocol name from
-/etc/protocols and numeric value also allowed. The number 255 is equivalent to
-\fBproto\fP.
-.SS ipvs
-Match IPVS connection properties.
-.TP
-[\fB!\fP] \fB\-\-ipvs\fP
-packet belongs to an IPVS connection
-.TP
-Any of the following options implies \-\-ipvs (even negated)
-.TP
-[\fB!\fP] \fB\-\-vproto\fP \fIprotocol\fP
-VIP protocol to match; by number or name, e.g. "tcp"
-.TP
-[\fB!\fP] \fB\-\-vaddr\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-VIP address to match
-.TP
-[\fB!\fP] \fB\-\-vport\fP \fIport\fP
-VIP port to match; by number or name, e.g. "http"
-.TP
-\fB\-\-vdir\fP {\fBORIGINAL\fP|\fBREPLY\fP}
-flow direction of packet
-.TP
-[\fB!\fP] \fB\-\-vmethod\fP {\fBGATE\fP|\fBIPIP\fP|\fBMASQ\fP}
-IPVS forwarding method used
-.TP
-[\fB!\fP] \fB\-\-vportctl\fP \fIport\fP
-VIP port of the controlling connection to match, e.g. 21 for FTP
-.SS length
-This module matches the length of the layer-3 payload (e.g. layer-4 packet)
-of a packet against a specific value
-or range of values.
-.TP
-[\fB!\fP] \fB\-\-length\fP \fIlength\fP[\fB:\fP\fIlength\fP]
-.SS limit
-This module matches at a limited rate using a token bucket filter.
-A rule using this extension will match until this limit is reached.
-It can be used in combination with the
-.B LOG
-target to give limited logging, for example.
-.PP
-xt_limit has no negation support - you will have to use \-m hashlimit !
-\-\-hashlimit \fIrate\fP in this case whilst omitting \-\-hashlimit\-mode.
-.TP
-\fB\-\-limit\fP \fIrate\fP[\fB/second\fP|\fB/minute\fP|\fB/hour\fP|\fB/day\fP]
-Maximum average matching rate: specified as a number, with an optional
-`/second', `/minute', `/hour', or `/day' suffix; the default is
-3/hour.
-.TP
-\fB\-\-limit\-burst\fP \fInumber\fP
-Maximum initial number of packets to match: this number gets
-recharged by one every time the limit specified above is not reached,
-up to this number; the default is 5.
-.SS mac
-.TP
-[\fB!\fP] \fB\-\-mac\-source\fP \fIaddress\fP
-Match source MAC address. It must be of the form XX:XX:XX:XX:XX:XX.
-Note that this only makes sense for packets coming from an Ethernet device
-and entering the
-.BR PREROUTING ,
-.B FORWARD
-or
-.B INPUT
-chains.
-.SS mark
-This module matches the netfilter mark field associated with a packet
-(which can be set using the
-.B MARK
-target below).
-.TP
-[\fB!\fP] \fB\-\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Matches packets with the given unsigned mark value (if a \fImask\fP is
-specified, this is logically ANDed with the \fImask\fP before the
-comparison).
-.SS mh (IPv6-specific)
-This extension is loaded if `\-\-protocol ipv6\-mh' or `\-\-protocol mh' is
-specified. It provides the following option:
-.TP
-[\fB!\fP] \fB\-\-mh\-type\fP \fItype\fP[\fB:\fP\fItype\fP]
-This allows specification of the Mobility Header(MH) type, which can be
-a numeric MH
-.IR type ,
-.IR type
-or one of the MH type names shown by the command
-.nf
- ip6tables \-p mh \-h
-.fi
-.SS multiport
-This module matches a set of source or destination ports. Up to 15
-ports can be specified. A port range (port:port) counts as two
-ports. It can only be used in conjunction with one of the
-following protocols:
-\fBtcp\fP, \fBudp\fP, \fBudplite\fP, \fBdccp\fP and \fBsctp\fP.
-.TP
-[\fB!\fP] \fB\-\-source\-ports\fP,\fB\-\-sports\fP \fIport\fP[\fB,\fP\fIport\fP|\fB,\fP\fIport\fP\fB:\fP\fIport\fP]...
-Match if the source port is one of the given ports. The flag
-\fB\-\-sports\fP
-is a convenient alias for this option. Multiple ports or port ranges are
-separated using a comma, and a port range is specified using a colon.
-\fB53,1024:65535\fP would therefore match ports 53 and all from 1024 through
-65535.
-.TP
-[\fB!\fP] \fB\-\-destination\-ports\fP,\fB\-\-dports\fP \fIport\fP[\fB,\fP\fIport\fP|\fB,\fP\fIport\fP\fB:\fP\fIport\fP]...
-Match if the destination port is one of the given ports. The flag
-\fB\-\-dports\fP
-is a convenient alias for this option.
-.TP
-[\fB!\fP] \fB\-\-ports\fP \fIport\fP[\fB,\fP\fIport\fP|\fB,\fP\fIport\fP\fB:\fP\fIport\fP]...
-Match if either the source or destination ports are equal to one of
-the given ports.
-.SS nfacct
-The nfacct match provides the extended accounting infrastructure for iptables.
-You have to use this match together with the standalone user-space utility
-.B nfacct(8)
-.PP
-The only option available for this match is the following:
-.TP
-\fB\-\-nfacct\-name\fP \fIname\fP
-This allows you to specify the existing object name that will be use for
-accounting the traffic that this rule-set is matching.
-.PP
-To use this extension, you have to create an accounting object:
-.IP
-nfacct add http\-traffic
-.PP
-Then, you have to attach it to the accounting object via iptables:
-.IP
-iptables \-I INPUT \-p tcp \-\-sport 80 \-m nfacct \-\-nfacct\-name http\-traffic
-.IP
-iptables \-I OUTPUT \-p tcp \-\-dport 80 \-m nfacct \-\-nfacct\-name http\-traffic
-.PP
-Then, you can check for the amount of traffic that the rules match:
-.IP
-nfacct get http\-traffic
-.IP
-{ pkts = 00000000000000000156, bytes = 00000000000000151786 } = http-traffic;
-.PP
-You can obtain
-.B nfacct(8)
-from http://www.netfilter.org or, alternatively, from the git.netfilter.org
-repository.
-.SS osf
-The osf module does passive operating system fingerprinting. This modules
-compares some data (Window Size, MSS, options and their order, TTL, DF,
-and others) from packets with the SYN bit set.
-.TP
-[\fB!\fP] \fB\-\-genre\fP \fIstring\fP
-Match an operating system genre by using a passive fingerprinting.
-.TP
-\fB\-\-ttl\fP \fIlevel\fP
-Do additional TTL checks on the packet to determine the operating system.
-\fIlevel\fP can be one of the following values:
-.IP \(bu 4
-0 - True IP address and fingerprint TTL comparison. This generally works for
-LANs.
-.IP \(bu 4
-1 - Check if the IP header's TTL is less than the fingerprint one. Works for
-globally-routable addresses.
-.IP \(bu 4
-2 - Do not compare the TTL at all.
-.TP
-\fB\-\-log\fP \fIlevel\fP
-Log determined genres into dmesg even if they do not match the desired one.
-\fIlevel\fP can be one of the following values:
-.IP \(bu 4
-0 - Log all matched or unknown signatures
-.IP \(bu 4
-1 - Log only the first one
-.IP \(bu 4
-2 - Log all known matched signatures
-.PP
-You may find something like this in syslog:
-.PP
-Windows [2000:SP3:Windows XP Pro SP1, 2000 SP3]: 11.22.33.55:4024 ->
-11.22.33.44:139 hops=3 Linux [2.5-2.6:] : 1.2.3.4:42624 -> 1.2.3.5:22 hops=4
-.PP
-OS fingerprints are loadable using the \fBnfnl_osf\fP program. To load
-fingerprints from a file, use:
-.PP
-\fBnfnl_osf -f /usr/share/xtables/pf.os\fP
-.PP
-To remove them again,
-.PP
-\fBnfnl_osf -f /usr/share/xtables/pf.os -d\fP
-.PP
-The fingerprint database can be downlaoded from
-http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.os .
-.SS owner
-This module attempts to match various characteristics of the packet creator,
-for locally generated packets. This match is only valid in the OUTPUT and
-POSTROUTING chains. Forwarded packets do not have any socket associated with
-them. Packets from kernel threads do have a socket, but usually no owner.
-.TP
-[\fB!\fP] \fB\-\-uid\-owner\fP \fIusername\fP
-.TP
-[\fB!\fP] \fB\-\-uid\-owner\fP \fIuserid\fP[\fB\-\fP\fIuserid\fP]
-Matches if the packet socket's file structure (if it has one) is owned by the
-given user. You may also specify a numerical UID, or an UID range.
-.TP
-[\fB!\fP] \fB\-\-gid\-owner\fP \fIgroupname\fP
-.TP
-[\fB!\fP] \fB\-\-gid\-owner\fP \fIgroupid\fP[\fB\-\fP\fIgroupid\fP]
-Matches if the packet socket's file structure is owned by the given group.
-You may also specify a numerical GID, or a GID range.
-.TP
-[\fB!\fP] \fB\-\-socket\-exists\fP
-Matches if the packet is associated with a socket.
-.SS physdev
-This module matches on the bridge port input and output devices enslaved
-to a bridge device. This module is a part of the infrastructure that enables
-a transparent bridging IP firewall and is only useful for kernel versions
-above version 2.5.44.
-.TP
-[\fB!\fP] \fB\-\-physdev\-in\fP \fIname\fP
-Name of a bridge port via which a packet is received (only for
-packets entering the
-.BR INPUT ,
-.B FORWARD
-and
-.B PREROUTING
-chains). If the interface name ends in a "+", then any
-interface which begins with this name will match. If the packet didn't arrive
-through a bridge device, this packet won't match this option, unless '!' is used.
-.TP
-[\fB!\fP] \fB\-\-physdev\-out\fP \fIname\fP
-Name of a bridge port via which a packet is going to be sent (for packets
-entering the
-.BR FORWARD ,
-.B OUTPUT
-and
-.B POSTROUTING
-chains). If the interface name ends in a "+", then any
-interface which begins with this name will match. Note that in the
-.BR nat " and " mangle
-.B OUTPUT
-chains one cannot match on the bridge output port, however one can in the
-.B "filter OUTPUT"
-chain. If the packet won't leave by a bridge device or if it is yet unknown what
-the output device will be, then the packet won't match this option,
-unless '!' is used.
-.TP
-[\fB!\fP] \fB\-\-physdev\-is\-in\fP
-Matches if the packet has entered through a bridge interface.
-.TP
-[\fB!\fP] \fB\-\-physdev\-is\-out\fP
-Matches if the packet will leave through a bridge interface.
-.TP
-[\fB!\fP] \fB\-\-physdev\-is\-bridged\fP
-Matches if the packet is being bridged and therefore is not being routed.
-This is only useful in the FORWARD and POSTROUTING chains.
-.SS pkttype
-This module matches the link-layer packet type.
-.TP
-[\fB!\fP] \fB\-\-pkt\-type\fP {\fBunicast\fP|\fBbroadcast\fP|\fBmulticast\fP}
-.SS policy
-This modules matches the policy used by IPsec for handling a packet.
-.TP
-\fB\-\-dir\fP {\fBin\fP|\fBout\fP}
-Used to select whether to match the policy used for decapsulation or the
-policy that will be used for encapsulation.
-.B in
-is valid in the
-.B PREROUTING, INPUT and FORWARD
-chains,
-.B out
-is valid in the
-.B POSTROUTING, OUTPUT and FORWARD
-chains.
-.TP
-\fB\-\-pol\fP {\fBnone\fP|\fBipsec\fP}
-Matches if the packet is subject to IPsec processing. \fB\-\-pol none\fP
-cannot be combined with \fB\-\-strict\fP.
-.TP
-\fB\-\-strict\fP
-Selects whether to match the exact policy or match if any rule of
-the policy matches the given policy.
-.PP
-For each policy element that is to be described, one can use one or more of
-the following options. When \fB\-\-strict\fP is in effect, at least one must be
-used per element.
-.TP
-[\fB!\fP] \fB\-\-reqid\fP \fIid\fP
-Matches the reqid of the policy rule. The reqid can be specified with
-.B setkey(8)
-using
-.B unique:id
-as level.
-.TP
-[\fB!\fP] \fB\-\-spi\fP \fIspi\fP
-Matches the SPI of the SA.
-.TP
-[\fB!\fP] \fB\-\-proto\fP {\fBah\fP|\fBesp\fP|\fBipcomp\fP}
-Matches the encapsulation protocol.
-.TP
-[\fB!\fP] \fB\-\-mode\fP {\fBtunnel\fP|\fBtransport\fP}
-Matches the encapsulation mode.
-.TP
-[\fB!\fP] \fB\-\-tunnel\-src\fP \fIaddr\fP[\fB/\fP\fImask\fP]
-Matches the source end-point address of a tunnel mode SA.
-Only valid with \fB\-\-mode tunnel\fP.
-.TP
-[\fB!\fP] \fB\-\-tunnel\-dst\fP \fIaddr\fP[\fB/\fP\fImask\fP]
-Matches the destination end-point address of a tunnel mode SA.
-Only valid with \fB\-\-mode tunnel\fP.
-.TP
-\fB\-\-next\fP
-Start the next element in the policy specification. Can only be used with
-\fB\-\-strict\fP.
-.SS quota
-Implements network quotas by decrementing a byte counter with each
-packet. The condition matches until the byte counter reaches zero. Behavior
-is reversed with negation (i.e. the condition does not match until the
-byte counter reaches zero).
-.TP
-[\fB!\fP] \fB\-\-quota\fP \fIbytes\fP
-The quota in bytes.
-.SS rateest
-The rate estimator can match on estimated rates as collected by the RATEEST
-target. It supports matching on absolute bps/pps values, comparing two rate
-estimators and matching on the difference between two rate estimators.
-.PP
-For a better understanding of the available options, these are all possible
-combinations:
-.\" * Absolute:
-.IP \(bu 4
-\fBrateest\fP \fIoperator\fP \fBrateest-bps\fP
-.IP \(bu 4
-\fBrateest\fP \fIoperator\fP \fBrateest-pps\fP
-.\" * Absolute + Delta:
-.IP \(bu 4
-(\fBrateest\fP minus \fBrateest-bps1\fP) \fIoperator\fP \fBrateest-bps2\fP
-.IP \(bu 4
-(\fBrateest\fP minus \fBrateest-pps1\fP) \fIoperator\fP \fBrateest-pps2\fP
-.\" * Relative:
-.IP \(bu 4
-\fBrateest1\fP \fIoperator\fP \fBrateest2\fP \fBrateest-bps\fP(without rate!)
-.IP \(bu 4
-\fBrateest1\fP \fIoperator\fP \fBrateest2\fP \fBrateest-pps\fP(without rate!)
-.\" * Relative + Delta:
-.IP \(bu 4
-(\fBrateest1\fP minus \fBrateest-bps1\fP) \fIoperator\fP
-(\fBrateest2\fP minus \fBrateest-bps2\fP)
-.IP \(bu 4
-(\fBrateest1\fP minus \fBrateest-pps1\fP) \fIoperator\fP
-(\fBrateest2\fP minus \fBrateest-pps2\fP)
-.TP
-\fB\-\-rateest\-delta\fP
-For each estimator (either absolute or relative mode), calculate the difference
-between the estimator-determined flow rate and the static value chosen with the
-BPS/PPS options. If the flow rate is higher than the specified BPS/PPS, 0 will
-be used instead of a negative value. In other words, "max(0, rateest#_rate -
-rateest#_bps)" is used.
-.TP
-[\fB!\fP] \fB\-\-rateest\-lt\fP
-Match if rate is less than given rate/estimator.
-.TP
-[\fB!\fP] \fB\-\-rateest\-gt\fP
-Match if rate is greater than given rate/estimator.
-.TP
-[\fB!\fP] \fB\-\-rateest\-eq\fP
-Match if rate is equal to given rate/estimator.
-.PP
-In the so-called "absolute mode", only one rate estimator is used and compared
-against a static value, while in "relative mode", two rate estimators are
-compared against another.
-.TP
-\fB\-\-rateest\fP \fIname\fP
-Name of the one rate estimator for absolute mode.
-.TP
-\fB\-\-rateest1\fP \fIname\fP
-.TP
-\fB\-\-rateest2\fP \fIname\fP
-The names of the two rate estimators for relative mode.
-.TP
-\fB\-\-rateest\-bps\fP [\fIvalue\fP]
-.TP
-\fB\-\-rateest\-pps\fP [\fIvalue\fP]
-.TP
-\fB\-\-rateest\-bps1\fP [\fIvalue\fP]
-.TP
-\fB\-\-rateest\-bps2\fP [\fIvalue\fP]
-.TP
-\fB\-\-rateest\-pps1\fP [\fIvalue\fP]
-.TP
-\fB\-\-rateest\-pps2\fP [\fIvalue\fP]
-Compare the estimator(s) by bytes or packets per second, and compare against
-the chosen value. See the above bullet list for which option is to be used in
-which case. A unit suffix may be used - available ones are: bit, [kmgt]bit,
-[KMGT]ibit, Bps, [KMGT]Bps, [KMGT]iBps.
-.PP
-Example: This is what can be used to route outgoing data connections from an
-FTP server over two lines based on the available bandwidth at the time the data
-connection was started:
-.PP
-# Estimate outgoing rates
-.PP
-iptables \-t mangle \-A POSTROUTING \-o eth0 \-j RATEEST \-\-rateest\-name eth0
-\-\-rateest\-interval 250ms \-\-rateest\-ewma 0.5s
-.PP
-iptables \-t mangle \-A POSTROUTING \-o ppp0 \-j RATEEST \-\-rateest\-name ppp0
-\-\-rateest\-interval 250ms \-\-rateest\-ewma 0.5s
-.PP
-# Mark based on available bandwidth
-.PP
-iptables \-t mangle \-A balance \-m conntrack \-\-ctstate NEW \-m helper \-\-helper ftp
-\-m rateest \-\-rateest\-delta \-\-rateest1 eth0 \-\-rateest\-bps1 2.5mbit \-\-rateest\-gt
-\-\-rateest2 ppp0 \-\-rateest\-bps2 2mbit \-j CONNMARK \-\-set\-mark 1
-.PP
-iptables \-t mangle \-A balance \-m conntrack \-\-ctstate NEW \-m helper \-\-helper ftp
-\-m rateest \-\-rateest\-delta \-\-rateest1 ppp0 \-\-rateest\-bps1 2mbit \-\-rateest\-gt
-\-\-rateest2 eth0 \-\-rateest\-bps2 2.5mbit \-j CONNMARK \-\-set\-mark 2
-.PP
-iptables \-t mangle \-A balance \-j CONNMARK \-\-restore\-mark
-.SS realm (IPv4-specific)
-This matches the routing realm. Routing realms are used in complex routing
-setups involving dynamic routing protocols like BGP.
-.TP
-[\fB!\fP] \fB\-\-realm\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Matches a given realm number (and optionally mask). If not a number, value
-can be a named realm from /etc/iproute2/rt_realms (mask can not be used in
-that case).
-.SS recent
-Allows you to dynamically create a list of IP addresses and then match against
-that list in a few different ways.
-.PP
-For example, you can create a "badguy" list out of people attempting to connect
-to port 139 on your firewall and then DROP all future packets from them without
-considering them.
-.PP
-\fB\-\-set\fP, \fB\-\-rcheck\fP, \fB\-\-update\fP and \fB\-\-remove\fP are
-mutually exclusive.
-.TP
-\fB\-\-name\fP \fIname\fP
-Specify the list to use for the commands. If no name is given then
-\fBDEFAULT\fP will be used.
-.TP
-[\fB!\fP] \fB\-\-set\fP
-This will add the source address of the packet to the list. If the source
-address is already in the list, this will update the existing entry. This will
-always return success (or failure if \fB!\fP is passed in).
-.TP
-\fB\-\-rsource\fP
-Match/save the source address of each packet in the recent list table. This
-is the default.
-.TP
-\fB\-\-rdest\fP
-Match/save the destination address of each packet in the recent list table.
-.TP
-\fB\-\-mask\fP \fInetmask\fP
-Netmask that will be applied to this recent list.
-.TP
-[\fB!\fP] \fB\-\-rcheck\fP
-Check if the source address of the packet is currently in the list.
-.TP
-[\fB!\fP] \fB\-\-update\fP
-Like \fB\-\-rcheck\fP, except it will update the "last seen" timestamp if it
-matches.
-.TP
-[\fB!\fP] \fB\-\-remove\fP
-Check if the source address of the packet is currently in the list and if so
-that address will be removed from the list and the rule will return true. If
-the address is not found, false is returned.
-.TP
-\fB\-\-seconds\fP \fIseconds\fP
-This option must be used in conjunction with one of \fB\-\-rcheck\fP or
-\fB\-\-update\fP. When used, this will narrow the match to only happen when the
-address is in the list and was seen within the last given number of seconds.
-.TP
-\fB\-\-reap\fP
-This option can only be used in conjunction with \fB\-\-seconds\fP.
-When used, this will cause entries older than the last given number of seconds
-to be purged.
-.TP
-\fB\-\-hitcount\fP \fIhits\fP
-This option must be used in conjunction with one of \fB\-\-rcheck\fP or
-\fB\-\-update\fP. When used, this will narrow the match to only happen when the
-address is in the list and packets had been received greater than or equal to
-the given value. This option may be used along with \fB\-\-seconds\fP to create
-an even narrower match requiring a certain number of hits within a specific
-time frame. The maximum value for the hitcount parameter is given by the
-"ip_pkt_list_tot" parameter of the xt_recent kernel module. Exceeding this
-value on the command line will cause the rule to be rejected.
-.TP
-\fB\-\-rttl\fP
-This option may only be used in conjunction with one of \fB\-\-rcheck\fP or
-\fB\-\-update\fP. When used, this will narrow the match to only happen when the
-address is in the list and the TTL of the current packet matches that of the
-packet which hit the \fB\-\-set\fP rule. This may be useful if you have problems
-with people faking their source address in order to DoS you via this module by
-disallowing others access to your site by sending bogus packets to you.
-.PP
-Examples:
-.IP
-iptables \-A FORWARD \-m recent \-\-name badguy \-\-rcheck \-\-seconds 60 \-j DROP
-.IP
-iptables \-A FORWARD \-p tcp \-i eth0 \-\-dport 139 \-m recent \-\-name badguy \-\-set \-j DROP
-.PP
-\fB/proc/net/xt_recent/*\fP are the current lists of addresses and information
-about each entry of each list.
-.PP
-Each file in \fB/proc/net/xt_recent/\fP can be read from to see the current
-list or written two using the following commands to modify the list:
-.TP
-\fBecho +\fP\fIaddr\fP\fB >/proc/net/xt_recent/DEFAULT\fP
-to add \fIaddr\fP to the DEFAULT list
-.TP
-\fBecho \-\fP\fIaddr\fP\fB >/proc/net/xt_recent/DEFAULT\fP
-to remove \fIaddr\fP from the DEFAULT list
-.TP
-\fBecho / >/proc/net/xt_recent/DEFAULT\fP
-to flush the DEFAULT list (remove all entries).
-.PP
-The module itself accepts parameters, defaults shown:
-.TP
-\fBip_list_tot\fP=\fI100\fP
-Number of addresses remembered per table.
-.TP
-\fBip_pkt_list_tot\fP=\fI20\fP
-Number of packets per address remembered.
-.TP
-\fBip_list_hash_size\fP=\fI0\fP
-Hash table size. 0 means to calculate it based on ip_list_tot, default: 512.
-.TP
-\fBip_list_perms\fP=\fI0644\fP
-Permissions for /proc/net/xt_recent/* files.
-.TP
-\fBip_list_uid\fP=\fI0\fP
-Numerical UID for ownership of /proc/net/xt_recent/* files.
-.TP
-\fBip_list_gid\fP=\fI0\fP
-Numerical GID for ownership of /proc/net/xt_recent/* files.
-.SS rpfilter
-Performs a reverse path filter test on a packet.
-If a reply to the packet would be sent via the same interface
-that the packet arrived on, the packet will match.
-Note that, unlike the in-kernel rp_filter, packets protected
-by IPSec are not treated specially. Combine this match with
-the policy match if you want this.
-Also, packets arriving via the loopback interface are always permitted.
-This match can only be used in the PREROUTING chain of the raw or mangle table.
-.TP
-\fB\-\-loose\fP
-Used to specifiy that the reverse path filter test should match
-even if the selected output device is not the expected one.
-.TP
-\fB\-\-validmark\fP
-Also use the packets' nfmark value when performing the reverse path route lookup.
-.TP
-\fB\-\-accept\-local\fP
-This will permit packets arriving from the network with a source address that is also
-assigned to the local machine.
-.TP
-\fB\-\-invert\fP
-This will invert the sense of the match. Instead of matching packets that passed the
-reverse path filter test, match those that have failed it.
-.PP
-Example to log and drop packets failing the reverse path filter test:
-
-iptables \-t raw \-N RPFILTER
-
-iptables \-t raw \-A RPFILTER \-m rpfilter \-j RETURN
-
-iptables \-t raw \-A RPFILTER \-m limit \-\-limit 10/minute \-j NFLOG \-\-nflog\-prefix "rpfilter drop"
-
-iptables \-t raw \-A RPFILTER \-j DROP
-
-iptables \-t raw \-A PREROUTING \-j RPFILTER
-
-Example to drop failed packets, without logging:
-
-iptables \-t raw \-A RPFILTER \-m rpfilter \-\-invert \-j DROP
-.SS rt (IPv6-specific)
-Match on IPv6 routing header
-.TP
-[\fB!\fP] \fB\-\-rt\-type\fP \fItype\fP
-Match the type (numeric).
-.TP
-[\fB!\fP] \fB\-\-rt\-segsleft\fP \fInum\fP[\fB:\fP\fInum\fP]
-Match the `segments left' field (range).
-.TP
-[\fB!\fP] \fB\-\-rt\-len\fP \fIlength\fP
-Match the length of this header.
-.TP
-\fB\-\-rt\-0\-res\fP
-Match the reserved field, too (type=0)
-.TP
-\fB\-\-rt\-0\-addrs\fP \fIaddr\fP[\fB,\fP\fIaddr\fP...]
-Match type=0 addresses (list).
-.TP
-\fB\-\-rt\-0\-not\-strict\fP
-List of type=0 addresses is not a strict list.
-.SS sctp
-.TP
-[\fB!\fP] \fB\-\-source\-port\fP,\fB\-\-sport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-destination\-port\fP,\fB\-\-dport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-chunk\-types\fP {\fBall\fP|\fBany\fP|\fBonly\fP} \fIchunktype\fP[\fB:\fP\fIflags\fP] [...]
-The flag letter in upper case indicates that the flag is to match if set,
-in the lower case indicates to match if unset.
-
-Chunk types: DATA INIT INIT_ACK SACK HEARTBEAT HEARTBEAT_ACK ABORT SHUTDOWN SHUTDOWN_ACK ERROR COOKIE_ECHO COOKIE_ACK ECN_ECNE ECN_CWR SHUTDOWN_COMPLETE ASCONF ASCONF_ACK FORWARD_TSN
-
-chunk type available flags
-.br
-DATA I U B E i u b e
-.br
-ABORT T t
-.br
-SHUTDOWN_COMPLETE T t
-
-(lowercase means flag should be "off", uppercase means "on")
-.P
-Examples:
-
-iptables \-A INPUT \-p sctp \-\-dport 80 \-j DROP
-
-iptables \-A INPUT \-p sctp \-\-chunk\-types any DATA,INIT \-j DROP
-
-iptables \-A INPUT \-p sctp \-\-chunk\-types any DATA:Be \-j ACCEPT
-.SS set
-This module matches IP sets which can be defined by ipset(8).
-.TP
-[\fB!\fP] \fB\-\-match\-set\fP \fIsetname\fP \fIflag\fP[\fB,\fP\fIflag\fP]...
-where flags are the comma separated list of
-.BR "src"
-and/or
-.BR "dst"
-specifications and there can be no more than six of them. Hence the command
-.IP
- iptables \-A FORWARD \-m set \-\-match\-set test src,dst
-.IP
-will match packets, for which (if the set type is ipportmap) the source
-address and destination port pair can be found in the specified set. If
-the set type of the specified set is single dimension (for example ipmap),
-then the command will match packets for which the source address can be
-found in the specified set.
-.TP
-\fB\-\-return\-nomatch\fP
-If the \fB\-\-return\-nomatch\fP option is specified and the set type
-supports the \fBnomatch\fP flag, then the matching is reversed: a match
-with an element flagged with \fBnomatch\fP returns \fBtrue\fP, while a
-match with a plain element returns \fBfalse\fP.
-.TP
-\fB!\fP \fB\-\-update\-counters\fP
-If the \fB\-\-update\-counters\fP flag is negated, then the packet and
-byte counters of the matching element in the set won't be updated. Default
-the packet and byte counters are updated.
-.TP
-\fB!\fP \fB\-\-update\-subcounters\fP
-If the \fB\-\-update\-subcounters\fP flag is negated, then the packet and
-byte counters of the matching element in the member set of a list type of
-set won't be updated. Default the packet and byte counters are updated.
-.TP
-[\fB!\fP] \fB\-\-packets\-eq\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the
-packet counter of the element matches the given value too.
-.TP
-\fB\-\-packets\-lt\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the
-packet counter of the element is less than the given value as well.
-.TP
-\fB\-\-packets\-gt\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the
-packet counter of the element is greater than the given value as well.
-.TP
-[\fB!\fP] \fB\-bytes\-eq\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the
-byte counter of the element matches the given value too.
-.TP
-\fB\-\-bytes\-lt\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the
-byte counter of the element is less than the given value as well.
-.TP
-\fB\-\-bytes\-gt\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the
-byte counter of the element is greater than the given value as well.
-.PP
-The packet and byte counters related options and flags are ignored
-when the set was defined without counter support.
-.PP
-The option \fB\-\-match\-set\fP can be replaced by \fB\-\-set\fP if that does
-not clash with an option of other extensions.
-.PP
-Use of -m set requires that ipset kernel support is provided, which, for
-standard kernels, is the case since Linux 2.6.39.
-.SS socket
-This matches if an open TCP/UDP socket can be found by doing a socket lookup on the
-packet. It matches if there is an established or non\-zero bound listening
-socket (possibly with a non\-local address). The lookup is performed using
-the \fBpacket\fP tuple of TCP/UDP packets, or the original TCP/UDP header
-\fBembedded\fP in an ICMP/ICPMv6 error packet.
-.TP
-\fB\-\-transparent\fP
-Ignore non-transparent sockets.
-.TP
-\fB\-\-nowildcard\fP
-Do not ignore sockets bound to 'any' address.
-The socket match won't accept zero\-bound listeners by default, since
-then local services could intercept traffic that would otherwise be forwarded.
-This option therefore has security implications when used to match traffic being
-forwarded to redirect such packets to local machine with policy routing.
-When using the socket match to implement fully transparent
-proxies bound to non\-local addresses it is recommended to use the \-\-transparent
-option instead.
-.PP
-Example (assuming packets with mark 1 are delivered locally):
-.IP
-\-t mangle \-A PREROUTING \-m socket \-\-transparent \-j MARK \-\-set\-mark 1
-.SS state
-The "state" extension is a subset of the "conntrack" module.
-"state" allows access to the connection tracking state for this packet.
-.TP
-[\fB!\fP] \fB\-\-state\fP \fIstate\fP
-Where state is a comma separated list of the connection states to match. Only a
-subset of the states unterstood by "conntrack" are recognized: \fBINVALID\fP,
-\fBESTABLISHED\fP, \fBNEW\fP, \fBRELATED\fP or \fBUNTRACKED\fP. For their
-description, see the "conntrack" heading in this manpage.
-.SS statistic
-This module matches packets based on some statistic condition.
-It supports two distinct modes settable with the
-\fB\-\-mode\fP
-option.
-.PP
-Supported options:
-.TP
-\fB\-\-mode\fP \fImode\fP
-Set the matching mode of the matching rule, supported modes are
-.B random
-and
-.B nth.
-.TP
-[\fB!\fP] \fB\-\-probability\fP \fIp\fP
-Set the probability for a packet to be randomly matched. It only works with the
-\fBrandom\fP mode. \fIp\fP must be within 0.0 and 1.0. The supported
-granularity is in 1/2147483648th increments.
-.TP
-[\fB!\fP] \fB\-\-every\fP \fIn\fP
-Match one packet every nth packet. It works only with the
-.B nth
-mode (see also the
-\fB\-\-packet\fP
-option).
-.TP
-\fB\-\-packet\fP \fIp\fP
-Set the initial counter value (0 <= p <= n\-1, default 0) for the
-.B nth
-mode.
-.SS string
-This modules matches a given string by using some pattern matching strategy. It requires a linux kernel >= 2.6.14.
-.TP
-\fB\-\-algo\fP {\fBbm\fP|\fBkmp\fP}
-Select the pattern matching strategy. (bm = Boyer-Moore, kmp = Knuth-Pratt-Morris)
-.TP
-\fB\-\-from\fP \fIoffset\fP
-Set the offset from which it starts looking for any matching. If not passed, default is 0.
-.TP
-\fB\-\-to\fP \fIoffset\fP
-Set the offset up to which should be scanned. That is, byte \fIoffset\fP-1
-(counting from 0) is the last one that is scanned.
-If not passed, default is the packet size.
-.TP
-[\fB!\fP] \fB\-\-string\fP \fIpattern\fP
-Matches the given pattern.
-.TP
-[\fB!\fP] \fB\-\-hex\-string\fP \fIpattern\fP
-Matches the given pattern in hex notation.
-.TP
-Examples:
-.IP
-# The string pattern can be used for simple text characters.
-.br
-iptables \-A INPUT \-p tcp \-\-dport 80 \-m string \-\-algo bm \-\-string 'GET /index.html' \-j LOG
-.IP
-# The hex string pattern can be used for non-printable characters, like |0D 0A| or |0D0A|.
-.br
-iptables \-p udp \-\-dport 53 \-m string \-\-algo bm \-\-from 40 \-\-to 57 \-\-hex\-string '|03|www|09|netfilter|03|org|00|'
-.SS tcp
-These extensions can be used if `\-\-protocol tcp' is specified. It
-provides the following options:
-.TP
-[\fB!\fP] \fB\-\-source\-port\fP,\fB\-\-sport\fP \fIport\fP[\fB:\fP\fIport\fP]
-Source port or port range specification. This can either be a service
-name or a port number. An inclusive range can also be specified,
-using the format \fIfirst\fP\fB:\fP\fIlast\fP.
-If the first port is omitted, "0" is assumed; if the last is omitted,
-"65535" is assumed.
-If the first port is greater than the second one they will be swapped.
-The flag
-\fB\-\-sport\fP
-is a convenient alias for this option.
-.TP
-[\fB!\fP] \fB\-\-destination\-port\fP,\fB\-\-dport\fP \fIport\fP[\fB:\fP\fIport\fP]
-Destination port or port range specification. The flag
-\fB\-\-dport\fP
-is a convenient alias for this option.
-.TP
-[\fB!\fP] \fB\-\-tcp\-flags\fP \fImask\fP \fIcomp\fP
-Match when the TCP flags are as specified. The first argument \fImask\fP is the
-flags which we should examine, written as a comma-separated list, and
-the second argument \fIcomp\fP is a comma-separated list of flags which must be
-set. Flags are:
-.BR "SYN ACK FIN RST URG PSH ALL NONE" .
-Hence the command
-.nf
- iptables \-A FORWARD \-p tcp \-\-tcp\-flags SYN,ACK,FIN,RST SYN
-.fi
-will only match packets with the SYN flag set, and the ACK, FIN and
-RST flags unset.
-.TP
-[\fB!\fP] \fB\-\-syn\fP
-Only match TCP packets with the SYN bit set and the ACK,RST and FIN bits
-cleared. Such packets are used to request TCP connection initiation;
-for example, blocking such packets coming in an interface will prevent
-incoming TCP connections, but outgoing TCP connections will be
-unaffected.
-It is equivalent to \fB\-\-tcp\-flags SYN,RST,ACK,FIN SYN\fP.
-If the "!" flag precedes the "\-\-syn", the sense of the
-option is inverted.
-.TP
-[\fB!\fP] \fB\-\-tcp\-option\fP \fInumber\fP
-Match if TCP option set.
-.SS tcpmss
-This matches the TCP MSS (maximum segment size) field of the TCP header. You can only use this on TCP SYN or SYN/ACK packets, since the MSS is only negotiated during the TCP handshake at connection startup time.
-.TP
-[\fB!\fP] \fB\-\-mss\fP \fIvalue\fP[\fB:\fP\fIvalue\fP]
-Match a given TCP MSS value or range.
-.SS time
-This matches if the packet arrival time/date is within a given range. All
-options are optional, but are ANDed when specified. All times are interpreted
-as UTC by default.
-.TP
-\fB\-\-datestart\fP \fIYYYY\fP[\fB\-\fP\fIMM\fP[\fB\-\fP\fIDD\fP[\fBT\fP\fIhh\fP[\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]]]]]
-.TP
-\fB\-\-datestop\fP \fIYYYY\fP[\fB\-\fP\fIMM\fP[\fB\-\fP\fIDD\fP[\fBT\fP\fIhh\fP[\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]]]]]
-Only match during the given time, which must be in ISO 8601 "T" notation.
-The possible time range is 1970-01-01T00:00:00 to 2038-01-19T04:17:07.
-.IP
-If \-\-datestart or \-\-datestop are not specified, it will default to 1970-01-01
-and 2038-01-19, respectively.
-.TP
-\fB\-\-timestart\fP \fIhh\fP\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]
-.TP
-\fB\-\-timestop\fP \fIhh\fP\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]
-Only match during the given daytime. The possible time range is 00:00:00 to
-23:59:59. Leading zeroes are allowed (e.g. "06:03") and correctly interpreted
-as base-10.
-.TP
-[\fB!\fP] \fB\-\-monthdays\fP \fIday\fP[\fB,\fP\fIday\fP...]
-Only match on the given days of the month. Possible values are \fB1\fP
-to \fB31\fP. Note that specifying \fB31\fP will of course not match
-on months which do not have a 31st day; the same goes for 28- or 29-day
-February.
-.TP
-[\fB!\fP] \fB\-\-weekdays\fP \fIday\fP[\fB,\fP\fIday\fP...]
-Only match on the given weekdays. Possible values are \fBMon\fP, \fBTue\fP,
-\fBWed\fP, \fBThu\fP, \fBFri\fP, \fBSat\fP, \fBSun\fP, or values from \fB1\fP
-to \fB7\fP, respectively. You may also use two-character variants (\fBMo\fP,
-\fBTu\fP, etc.).
-.TP
-\fB\-\-contiguous\fP
-When \fB\-\-timestop\fP is smaller than \fB\-\-timestart\fP value, match
-this as a single time period instead distinct intervals. See EXAMPLES.
-.TP
-\fB\-\-kerneltz\fP
-Use the kernel timezone instead of UTC to determine whether a packet meets the
-time regulations.
-.PP
-About kernel timezones: Linux keeps the system time in UTC, and always does so.
-On boot, system time is initialized from a referential time source. Where this
-time source has no timezone information, such as the x86 CMOS RTC, UTC will be
-assumed. If the time source is however not in UTC, userspace should provide the
-correct system time and timezone to the kernel once it has the information.
-.PP
-Local time is a feature on top of the (timezone independent) system time. Each
-process has its own idea of local time, specified via the TZ environment
-variable. The kernel also has its own timezone offset variable. The TZ
-userspace environment variable specifies how the UTC-based system time is
-displayed, e.g. when you run date(1), or what you see on your desktop clock.
-The TZ string may resolve to different offsets at different dates, which is
-what enables the automatic time-jumping in userspace. when DST changes. The
-kernel's timezone offset variable is used when it has to convert between
-non-UTC sources, such as FAT filesystems, to UTC (since the latter is what the
-rest of the system uses).
-.PP
-The caveat with the kernel timezone is that Linux distributions may ignore to
-set the kernel timezone, and instead only set the system time. Even if a
-particular distribution does set the timezone at boot, it is usually does not
-keep the kernel timezone offset - which is what changes on DST - up to date.
-ntpd will not touch the kernel timezone, so running it will not resolve the
-issue. As such, one may encounter a timezone that is always +0000, or one that
-is wrong half of the time of the year. As such, \fBusing \-\-kerneltz is highly
-discouraged.\fP
-.PP
-EXAMPLES. To match on weekends, use:
-.IP
-\-m time \-\-weekdays Sa,Su
-.PP
-Or, to match (once) on a national holiday block:
-.IP
-\-m time \-\-datestart 2007\-12\-24 \-\-datestop 2007\-12\-27
-.PP
-Since the stop time is actually inclusive, you would need the following stop
-time to not match the first second of the new day:
-.IP
-\-m time \-\-datestart 2007\-01\-01T17:00 \-\-datestop 2007\-01\-01T23:59:59
-.PP
-During lunch hour:
-.IP
-\-m time \-\-timestart 12:30 \-\-timestop 13:30
-.PP
-The fourth Friday in the month:
-.IP
-\-m time \-\-weekdays Fr \-\-monthdays 22,23,24,25,26,27,28
-.PP
-(Note that this exploits a certain mathematical property. It is not possible to
-say "fourth Thursday OR fourth Friday" in one rule. It is possible with
-multiple rules, though.)
-.PP
-Matching across days might not do what is expected. For instance,
-.IP
-\-m time \-\-weekdays Mo \-\-timestart 23:00 \-\-timestop 01:00
-Will match Monday, for one hour from midnight to 1 a.m., and then
-again for another hour from 23:00 onwards. If this is unwanted, e.g. if you
-would like 'match for two hours from Montay 23:00 onwards' you need to also specify
-the \-\-contiguous option in the example above.
-.SS tos
-This module matches the 8-bit Type of Service field in the IPv4 header (i.e.
-including the "Precedence" bits) or the (also 8-bit) Priority field in the IPv6
-header.
-.TP
-[\fB!\fP] \fB\-\-tos\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Matches packets with the given TOS mark value. If a mask is specified, it is
-logically ANDed with the TOS mark before the comparison.
-.TP
-[\fB!\fP] \fB\-\-tos\fP \fIsymbol\fP
-You can specify a symbolic name when using the tos match for IPv4. The list of
-recognized TOS names can be obtained by calling iptables with \fB\-m tos \-h\fP.
-Note that this implies a mask of 0x3F, i.e. all but the ECN bits.
-.SS ttl (IPv4-specific)
-This module matches the time to live field in the IP header.
-.TP
-[\fB!\fP] \fB\-\-ttl\-eq\fP \fIttl\fP
-Matches the given TTL value.
-.TP
-\fB\-\-ttl\-gt\fP \fIttl\fP
-Matches if TTL is greater than the given TTL value.
-.TP
-\fB\-\-ttl\-lt\fP \fIttl\fP
-Matches if TTL is less than the given TTL value.
-.SS u32
-U32 tests whether quantities of up to 4 bytes extracted from a packet have
-specified values. The specification of what to extract is general enough to
-find data at given offsets from tcp headers or payloads.
-.TP
-[\fB!\fP] \fB\-\-u32\fP \fItests\fP
-The argument amounts to a program in a small language described below.
-.IP
-tests := location "=" value | tests "&&" location "=" value
-.IP
-value := range | value "," range
-.IP
-range := number | number ":" number
-.PP
-a single number, \fIn\fP, is interpreted the same as \fIn:n\fP. \fIn:m\fP is
-interpreted as the range of numbers \fB>=n\fP and \fB<=m\fP.
-.IP "" 4
-location := number | location operator number
-.IP "" 4
-operator := "&" | "<<" | ">>" | "@"
-.PP
-The operators \fB&\fP, \fB<<\fP, \fB>>\fP and \fB&&\fP mean the same as in C.
-The \fB=\fP is really a set membership operator and the value syntax describes
-a set. The \fB@\fP operator is what allows moving to the next header and is
-described further below.
-.PP
-There are currently some artificial implementation limits on the size of the
-tests:
-.IP " *"
-no more than 10 of "\fB=\fP" (and 9 "\fB&&\fP"s) in the u32 argument
-.IP " *"
-no more than 10 ranges (and 9 commas) per value
-.IP " *"
-no more than 10 numbers (and 9 operators) per location
-.PP
-To describe the meaning of location, imagine the following machine that
-interprets it. There are three registers:
-.IP
-A is of type \fBchar *\fP, initially the address of the IP header
-.IP
-B and C are unsigned 32 bit integers, initially zero
-.PP
-The instructions are:
-.IP
-number B = number;
-.IP
-C = (*(A+B)<<24) + (*(A+B+1)<<16) + (*(A+B+2)<<8) + *(A+B+3)
-.IP
-&number C = C & number
-.IP
-<< number C = C << number
-.IP
->> number C = C >> number
-.IP
-@number A = A + C; then do the instruction number
-.PP
-Any access of memory outside [skb\->data,skb\->end] causes the match to fail.
-Otherwise the result of the computation is the final value of C.
-.PP
-Whitespace is allowed but not required in the tests. However, the characters
-that do occur there are likely to require shell quoting, so it is a good idea
-to enclose the arguments in quotes.
-.PP
-Example:
-.IP
-match IP packets with total length >= 256
-.IP
-The IP header contains a total length field in bytes 2-3.
-.IP
-\-\-u32 "\fB0 & 0xFFFF = 0x100:0xFFFF\fP"
-.IP
-read bytes 0-3
-.IP
-AND that with 0xFFFF (giving bytes 2-3), and test whether that is in the range
-[0x100:0xFFFF]
-.PP
-Example: (more realistic, hence more complicated)
-.IP
-match ICMP packets with icmp type 0
-.IP
-First test that it is an ICMP packet, true iff byte 9 (protocol) = 1
-.IP
-\-\-u32 "\fB6 & 0xFF = 1 &&\fP ...
-.IP
-read bytes 6-9, use \fB&\fP to throw away bytes 6-8 and compare the result to
-1. Next test that it is not a fragment. (If so, it might be part of such a
-packet but we cannot always tell.) N.B.: This test is generally needed if you
-want to match anything beyond the IP header. The last 6 bits of byte 6 and all
-of byte 7 are 0 iff this is a complete packet (not a fragment). Alternatively,
-you can allow first fragments by only testing the last 5 bits of byte 6.
-.IP
- ... \fB4 & 0x3FFF = 0 &&\fP ...
-.IP
-Last test: the first byte past the IP header (the type) is 0. This is where we
-have to use the @syntax. The length of the IP header (IHL) in 32 bit words is
-stored in the right half of byte 0 of the IP header itself.
-.IP
- ... \fB0 >> 22 & 0x3C @ 0 >> 24 = 0\fP"
-.IP
-The first 0 means read bytes 0-3, \fB>>22\fP means shift that 22 bits to the
-right. Shifting 24 bits would give the first byte, so only 22 bits is four
-times that plus a few more bits. \fB&3C\fP then eliminates the two extra bits
-on the right and the first four bits of the first byte. For instance, if IHL=5,
-then the IP header is 20 (4 x 5) bytes long. In this case, bytes 0-1 are (in
-binary) xxxx0101 yyzzzzzz, \fB>>22\fP gives the 10 bit value xxxx0101yy and
-\fB&3C\fP gives 010100. \fB@\fP means to use this number as a new offset into
-the packet, and read four bytes starting from there. This is the first 4 bytes
-of the ICMP payload, of which byte 0 is the ICMP type. Therefore, we simply
-shift the value 24 to the right to throw out all but the first byte and compare
-the result with 0.
-.PP
-Example:
-.IP
-TCP payload bytes 8-12 is any of 1, 2, 5 or 8
-.IP
-First we test that the packet is a tcp packet (similar to ICMP).
-.IP
-\-\-u32 "\fB6 & 0xFF = 6 &&\fP ...
-.IP
-Next, test that it is not a fragment (same as above).
-.IP
- ... \fB0 >> 22 & 0x3C @ 12 >> 26 & 0x3C @ 8 = 1,2,5,8\fP"
-.IP
-\fB0>>22&3C\fP as above computes the number of bytes in the IP header. \fB@\fP
-makes this the new offset into the packet, which is the start of the TCP
-header. The length of the TCP header (again in 32 bit words) is the left half
-of byte 12 of the TCP header. The \fB12>>26&3C\fP computes this length in bytes
-(similar to the IP header before). "@" makes this the new offset, which is the
-start of the TCP payload. Finally, 8 reads bytes 8-12 of the payload and
-\fB=\fP checks whether the result is any of 1, 2, 5 or 8.
-.SS udp
-These extensions can be used if `\-\-protocol udp' is specified. It
-provides the following options:
-.TP
-[\fB!\fP] \fB\-\-source\-port\fP,\fB\-\-sport\fP \fIport\fP[\fB:\fP\fIport\fP]
-Source port or port range specification.
-See the description of the
-\fB\-\-source\-port\fP
-option of the TCP extension for details.
-.TP
-[\fB!\fP] \fB\-\-destination\-port\fP,\fB\-\-dport\fP \fIport\fP[\fB:\fP\fIport\fP]
-Destination port or port range specification.
-See the description of the
-\fB\-\-destination\-port\fP
-option of the TCP extension for details.
-.SS unclean (IPv4-specific)
-This module takes no options, but attempts to match packets which seem
-malformed or unusual. This is regarded as experimental.
-.SH TARGET EXTENSIONS
-iptables can use extended target modules: the following are included
-in the standard distribution.
-.\" @TARGET@
-.SS AUDIT
-This target allows to create audit records for packets hitting the target.
-It can be used to record accepted, dropped, and rejected packets. See
-auditd(8) for additional details.
-.TP
-\fB\-\-type\fP {\fBaccept\fP|\fBdrop\fP|\fBreject\fP}
-Set type of audit record.
-.PP
-Example:
-.IP
-iptables \-N AUDIT_DROP
-.IP
-iptables \-A AUDIT_DROP \-j AUDIT \-\-type drop
-.IP
-iptables \-A AUDIT_DROP \-j DROP
-.SS CHECKSUM
-This target allows to selectively work around broken/old applications.
-It can only be used in the mangle table.
-.TP
-\fB\-\-checksum\-fill\fP
-Compute and fill in the checksum in a packet that lacks a checksum.
-This is particularly useful, if you need to work around old applications
-such as dhcp clients, that do not work well with checksum offloads,
-but don't want to disable checksum offload in your device.
-.SS CLASSIFY
-This module allows you to set the skb\->priority value (and thus classify the packet into a specific CBQ class).
-.TP
-\fB\-\-set\-class\fP \fImajor\fP\fB:\fP\fIminor\fP
-Set the major and minor class value. The values are always interpreted as
-hexadecimal even if no 0x prefix is given.
-.SS CLUSTERIP (IPv4-specific)
-This module allows you to configure a simple cluster of nodes that share
-a certain IP and MAC address without an explicit load balancer in front of
-them. Connections are statically distributed between the nodes in this
-cluster.
-.TP
-\fB\-\-new\fP
-Create a new ClusterIP. You always have to set this on the first rule
-for a given ClusterIP.
-.TP
-\fB\-\-hashmode\fP \fImode\fP
-Specify the hashing mode. Has to be one of
-\fBsourceip\fP, \fBsourceip\-sourceport\fP, \fBsourceip\-sourceport\-destport\fP.
-.TP
-\fB\-\-clustermac\fP \fImac\fP
-Specify the ClusterIP MAC address. Has to be a link\-layer multicast address
-.TP
-\fB\-\-total\-nodes\fP \fInum\fP
-Number of total nodes within this cluster.
-.TP
-\fB\-\-local\-node\fP \fInum\fP
-Local node number within this cluster.
-.TP
-\fB\-\-hash\-init\fP \fIrnd\fP
-Specify the random seed used for hash initialization.
-.SS CONNMARK
-This module sets the netfilter mark value associated with a connection. The
-mark is 32 bits wide.
-.TP
-\fB\-\-set\-xmark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Zero out the bits given by \fImask\fP and XOR \fIvalue\fP into the ctmark.
-.TP
-\fB\-\-save\-mark\fP [\fB\-\-nfmask\fP \fInfmask\fP] [\fB\-\-ctmask\fP \fIctmask\fP]
-Copy the packet mark (nfmark) to the connection mark (ctmark) using the given
-masks. The new nfmark value is determined as follows:
-.IP
-ctmark = (ctmark & ~ctmask) ^ (nfmark & nfmask)
-.IP
-i.e. \fIctmask\fP defines what bits to clear and \fInfmask\fP what bits of the
-nfmark to XOR into the ctmark. \fIctmask\fP and \fInfmask\fP default to
-0xFFFFFFFF.
-.TP
-\fB\-\-restore\-mark\fP [\fB\-\-nfmask\fP \fInfmask\fP] [\fB\-\-ctmask\fP \fIctmask\fP]
-Copy the connection mark (ctmark) to the packet mark (nfmark) using the given
-masks. The new ctmark value is determined as follows:
-.IP
-nfmark = (nfmark & ~\fInfmask\fP) ^ (ctmark & \fIctmask\fP);
-.IP
-i.e. \fInfmask\fP defines what bits to clear and \fIctmask\fP what bits of the
-ctmark to XOR into the nfmark. \fIctmask\fP and \fInfmask\fP default to
-0xFFFFFFFF.
-.IP
-\fB\-\-restore\-mark\fP is only valid in the \fBmangle\fP table.
-.PP
-The following mnemonics are available for \fB\-\-set\-xmark\fP:
-.TP
-\fB\-\-and\-mark\fP \fIbits\fP
-Binary AND the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark
-0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP.)
-.TP
-\fB\-\-or\-mark\fP \fIbits\fP
-Binary OR the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
-\fIbits\fP\fB/\fP\fIbits\fP.)
-.TP
-\fB\-\-xor\-mark\fP \fIbits\fP
-Binary XOR the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
-\fIbits\fP\fB/0\fP.)
-.TP
-\fB\-\-set\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Set the connection mark. If a mask is specified then only those bits set in the
-mask are modified.
-.TP
-\fB\-\-save\-mark\fP [\fB\-\-mask\fP \fImask\fP]
-Copy the nfmark to the ctmark. If a mask is specified, only those bits are
-copied.
-.TP
-\fB\-\-restore\-mark\fP [\fB\-\-mask\fP \fImask\fP]
-Copy the ctmark to the nfmark. If a mask is specified, only those bits are
-copied. This is only valid in the \fBmangle\fP table.
-.SS CONNSECMARK
-This module copies security markings from packets to connections
-(if unlabeled), and from connections back to packets (also only
-if unlabeled). Typically used in conjunction with SECMARK, it is
-valid in the
-.B security
-table (for backwards compatibility with older kernels, it is also
-valid in the
-.B mangle
-table).
-.TP
-\fB\-\-save\fP
-If the packet has a security marking, copy it to the connection
-if the connection is not marked.
-.TP
-\fB\-\-restore\fP
-If the packet does not have a security marking, and the connection
-does, copy the security marking from the connection to the packet.
-
-.SS CT
-The CT target allows to set parameters for a packet or its associated
-connection. The target attaches a "template" connection tracking entry to
-the packet, which is then used by the conntrack core when initializing
-a new ct entry. This target is thus only valid in the "raw" table.
-.TP
-\fB\-\-notrack\fP
-Disables connection tracking for this packet.
-.TP
-\fB\-\-helper\fP \fIname\fP
-Use the helper identified by \fIname\fP for the connection. This is more
-flexible than loading the conntrack helper modules with preset ports.
-.TP
-\fB\-\-ctevents\fP \fIevent\fP[\fB,\fP...]
-Only generate the specified conntrack events for this connection. Possible
-event types are: \fBnew\fP, \fBrelated\fP, \fBdestroy\fP, \fBreply\fP,
-\fBassured\fP, \fBprotoinfo\fP, \fBhelper\fP, \fBmark\fP (this refers to
-the ctmark, not nfmark), \fBnatseqinfo\fP, \fBsecmark\fP (ctsecmark).
-.TP
-\fB\-\-expevents\fP \fIevent\fP[\fB,\fP...]
-Only generate the specified expectation events for this connection.
-Possible event types are: \fBnew\fP.
-.TP
-\fB\-\-zone\fP \fIid\fP
-Assign this packet to zone \fIid\fP and only have lookups done in that zone.
-By default, packets have zone 0.
-.TP
-\fB\-\-timeout\fP \fIname\fP
-Use the timeout policy identified by \fIname\fP for the connection. This is
-provides more flexible timeout policy definition than global timeout values
-available at /proc/sys/net/netfilter/nf_conntrack_*_timeout_*.
-.SS DNAT
-This target is only valid in the
-.B nat
-table, in the
-.B PREROUTING
-and
-.B OUTPUT
-chains, and user-defined chains which are only called from those
-chains. It specifies that the destination address of the packet
-should be modified (and all future packets in this connection will
-also be mangled), and rules should cease being examined. It takes the
-following options:
-.TP
-\fB\-\-to\-destination\fP [\fIipaddr\fP[\fB\-\fP\fIipaddr\fP]][\fB:\fP\fIport\fP[\fB\-\fP\fIport\fP]]
-which can specify a single new destination IP address, an inclusive
-range of IP addresses. Optionally a port range,
-if the rule also specifies one of the following protocols:
-\fBtcp\fP, \fBudp\fP, \fBdccp\fP or \fBsctp\fP.
-If no port range is specified, then the destination port will never be
-modified. If no IP address is specified then only the destination port
-will be modified.
-In Kernels up to 2.6.10 you can add several \-\-to\-destination options. For
-those kernels, if you specify more than one destination address, either via an
-address range or multiple \-\-to\-destination options, a simple round-robin (one
-after another in cycle) load balancing takes place between these addresses.
-Later Kernels (>= 2.6.11-rc1) don't have the ability to NAT to multiple ranges
-anymore.
-.TP
-\fB\-\-random\fP
-If option
-\fB\-\-random\fP
-is used then port mapping will be randomized (kernel >= 2.6.22).
-.TP
-\fB\-\-persistent\fP
-Gives a client the same source-/destination-address for each connection.
-This supersedes the SAME target. Support for persistent mappings is available
-from 2.6.29-rc2.
-.TP
-IPv6 support available since Linux kernels >= 3.7.
-.SS DNPT (IPv6-specific)
-Provides stateless destination IPv6-to-IPv6 Network Prefix Translation (as
-described by RFC 6296).
-.PP
-You have to use this target in the
-.B mangle
-table, not in the
-.B nat
-table. It takes the following options:
-.TP
-\fB\-\-src\-pfx\fP [\fIprefix/\fP\fIlength]
-Set source prefix that you want to translate and length
-.TP
-\fB\-\-dst\-pfx\fP [\fIprefix/\fP\fIlength]
-Set destination prefix that you want to use in the translation and length
-.PP
-You have to use the SNPT target to undo the translation. Example:
-.IP
-ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0
-\-j SNPT \-\-src-pfx fd00::/64 \-\-dst-pfx 2001:e20:2000:40f::/64
-.IP
-ip6tables \-t mangle \-I PREROUTING \-i wlan0 \-d 2001:e20:2000:40f::/64
-\-j DNPT \-\-src-pfx 2001:e20:2000:40f::/64 \-\-dst-pfx fd00::/64
-.PP
-You may need to enable IPv6 neighbor proxy:
-.IP
-sysctl -w net.ipv6.conf.all.proxy_ndp=1
-.PP
-You also have to use the
-.B NOTRACK
-target to disable connection tracking for translated flows.
-.SS DSCP
-This target allows to alter the value of the DSCP bits within the TOS
-header of the IPv4 packet. As this manipulates a packet, it can only
-be used in the mangle table.
-.TP
-\fB\-\-set\-dscp\fP \fIvalue\fP
-Set the DSCP field to a numerical value (can be decimal or hex)
-.TP
-\fB\-\-set\-dscp\-class\fP \fIclass\fP
-Set the DSCP field to a DiffServ class.
-.SS ECN (IPv4-specific)
-This target allows to selectively work around known ECN blackholes.
-It can only be used in the mangle table.
-.TP
-\fB\-\-ecn\-tcp\-remove\fP
-Remove all ECN bits from the TCP header. Of course, it can only be used
-in conjunction with
-\fB\-p tcp\fP.
-.SS HL (IPv6-specific)
-This is used to modify the Hop Limit field in IPv6 header. The Hop Limit field
-is similar to what is known as TTL value in IPv4. Setting or incrementing the
-Hop Limit field can potentially be very dangerous, so it should be avoided at
-any cost. This target is only valid in
-.B mangle
-table.
-.PP
-.B Don't ever set or increment the value on packets that leave your local network!
-.TP
-\fB\-\-hl\-set\fP \fIvalue\fP
-Set the Hop Limit to `value'.
-.TP
-\fB\-\-hl\-dec\fP \fIvalue\fP
-Decrement the Hop Limit `value' times.
-.TP
-\fB\-\-hl\-inc\fP \fIvalue\fP
-Increment the Hop Limit `value' times.
-.SS HMARK
-Like MARK, i.e. set the fwmark, but the mark is calculated from hashing
-packet selector at choice. You have also to specify the mark range and,
-optionally, the offset to start from. ICMP error messages are inspected
-and used to calculate the hashing.
-.PP
-Existing options are:
-.TP
-\fB\-\-hmark\-tuple\fP tuple\fI\fP
-Possible tuple members are:
-.B src
-meaning source address (IPv4, IPv6 address),
-.B dst
-meaning destination address (IPv4, IPv6 address),
-.B sport
-meaning source port (TCP, UDP, UDPlite, SCTP, DCCP),
-.B dport
-meaning destination port (TCP, UDP, UDPlite, SCTP, DCCP),
-.B spi
-meaning Security Parameter Index (AH, ESP), and
-.B ct
-meaning the usage of the conntrack tuple instead of the packet selectors.
-.TP
-\fB\-\-hmark\-mod\fP \fIvalue (must be > 0)\fP
-Modulus for hash calculation (to limit the range of possible marks)
-.TP
-\fB\-\-hmark\-offset\fP \fIvalue\fP
-Offset to start marks from.
-.TP
-For advanced usage, instead of using \-\-hmark\-tuple, you can specify custom
-prefixes and masks:
-.TP
-\fB\-\-hmark\-src\-prefix\fP \fIcidr\fP
-The source address mask in CIDR notation.
-.TP
-\fB\-\-hmark\-dst\-prefix\fP \fIcidr\fP
-The destination address mask in CIDR notation.
-.TP
-\fB\-\-hmark\-sport\-mask\fP \fIvalue\fP
-A 16 bit source port mask in hexadecimal.
-.TP
-\fB\-\-hmark\-dport\-mask\fP \fIvalue\fP
-A 16 bit destination port mask in hexadecimal.
-.TP
-\fB\-\-hmark\-spi\-mask\fP \fIvalue\fP
-A 32 bit field with spi mask.
-.TP
-\fB\-\-hmark\-proto\-mask\fP \fIvalue\fP
-An 8 bit field with layer 4 protocol number.
-.TP
-\fB\-\-hmark\-rnd\fP \fIvalue\fP
-A 32 bit random custom value to feed hash calculation.
-.PP
-\fIExamples:\fP
-.PP
-iptables \-t mangle \-A PREROUTING \-m conntrack \-\-ctstate NEW
- \-j HMARK \-\-hmark-tuple ct,src,dst,proto \-\-hmark-offset 10000
-\-\-hmark\-mod 10 \-\-hmark\-rnd 0xfeedcafe
-.PP
-iptables \-t mangle \-A PREROUTING -j HMARK \-\-hmark\-offset 10000
-\-\-hmark-tuple src,dst,proto \-\-hmark-mod 10 \-\-hmark\-rnd 0xdeafbeef
-.SS IDLETIMER
-This target can be used to identify when interfaces have been idle for a
-certain period of time. Timers are identified by labels and are created when
-a rule is set with a new label. The rules also take a timeout value (in
-seconds) as an option. If more than one rule uses the same timer label, the
-timer will be restarted whenever any of the rules get a hit. One entry for
-each timer is created in sysfs. This attribute contains the timer remaining
-for the timer to expire. The attributes are located under the xt_idletimer
-class:
-.PP
-/sys/class/xt_idletimer/timers/<label>
-.PP
-When the timer expires, the target module sends a sysfs notification to the
-userspace, which can then decide what to do (eg. disconnect to save power).
-.TP
-\fB\-\-timeout\fP \fIamount\fP
-This is the time in seconds that will trigger the notification.
-.TP
-\fB\-\-label\fP \fIstring\fP
-This is a unique identifier for the timer. The maximum length for the
-label string is 27 characters.
-.SS LED
-This creates an LED-trigger that can then be attached to system indicator
-lights, to blink or illuminate them when certain packets pass through the
-system. One example might be to light up an LED for a few minutes every time
-an SSH connection is made to the local machine. The following options control
-the trigger behavior:
-.TP
-\fB\-\-led\-trigger\-id\fP \fIname\fP
-This is the name given to the LED trigger. The actual name of the trigger
-will be prefixed with "netfilter-".
-.TP
-\fB\-\-led-delay\fP \fIms\fP
-This indicates how long (in milliseconds) the LED should be left illuminated
-when a packet arrives before being switched off again. The default is 0
-(blink as fast as possible.) The special value \fIinf\fP can be given to
-leave the LED on permanently once activated. (In this case the trigger will
-need to be manually detached and reattached to the LED device to switch it
-off again.)
-.TP
-\fB\-\-led\-always\-blink\fP
-Always make the LED blink on packet arrival, even if the LED is already on.
-This allows notification of new packets even with long delay values (which
-otherwise would result in a silent prolonging of the delay time.)
-.TP
-Example:
-.TP
-Create an LED trigger for incoming SSH traffic:
-iptables \-A INPUT \-p tcp \-\-dport 22 \-j LED \-\-led\-trigger\-id ssh
-.TP
-Then attach the new trigger to an LED:
-echo netfilter\-ssh >/sys/class/leds/\fIledname\fP/trigger
-.SS LOG
-Turn on kernel logging of matching packets. When this option is set
-for a rule, the Linux kernel will print some information on all
-matching packets (like most IP/IPv6 header fields) via the kernel log
-(where it can be read with \fIdmesg(1)\fP or read in the syslog).
-.PP
-This is a "non-terminating target", i.e. rule traversal continues at
-the next rule. So if you want to LOG the packets you refuse, use two
-separate rules with the same matching criteria, first using target LOG
-then DROP (or REJECT).
-.TP
-\fB\-\-log\-level\fP \fIlevel\fP
-Level of logging, which can be (system-specific) numeric or a mnemonic.
-Possible values are (in decreasing order of priority): \fBemerg\fP,
-\fBalert\fP, \fBcrit\fP, \fBerror\fP, \fBwarning\fP, \fBnotice\fP, \fBinfo\fP
-or \fBdebug\fP.
-.TP
-\fB\-\-log\-prefix\fP \fIprefix\fP
-Prefix log messages with the specified prefix; up to 29 letters long,
-and useful for distinguishing messages in the logs.
-.TP
-\fB\-\-log\-tcp\-sequence\fP
-Log TCP sequence numbers. This is a security risk if the log is
-readable by users.
-.TP
-\fB\-\-log\-tcp\-options\fP
-Log options from the TCP packet header.
-.TP
-\fB\-\-log\-ip\-options\fP
-Log options from the IP/IPv6 packet header.
-.TP
-\fB\-\-log\-uid\fP
-Log the userid of the process which generated the packet.
-.SS MARK
-This target is used to set the Netfilter mark value associated with the packet.
-It can, for example, be used in conjunction with routing based on fwmark (needs
-iproute2). If you plan on doing so, note that the mark needs to be set in the
-PREROUTING chain of the mangle table to affect routing.
-The mark field is 32 bits wide.
-.TP
-\fB\-\-set\-xmark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Zeroes out the bits given by \fImask\fP and XORs \fIvalue\fP into the packet
-mark ("nfmark"). If \fImask\fP is omitted, 0xFFFFFFFF is assumed.
-.TP
-\fB\-\-set\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Zeroes out the bits given by \fImask\fP and ORs \fIvalue\fP into the packet
-mark. If \fImask\fP is omitted, 0xFFFFFFFF is assumed.
-.PP
-The following mnemonics are available:
-.TP
-\fB\-\-and\-mark\fP \fIbits\fP
-Binary AND the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark
-0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP.)
-.TP
-\fB\-\-or\-mark\fP \fIbits\fP
-Binary OR the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
-\fIbits\fP\fB/\fP\fIbits\fP.)
-.TP
-\fB\-\-xor\-mark\fP \fIbits\fP
-Binary XOR the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
-\fIbits\fP\fB/0\fP.)
-.SS MASQUERADE
-This target is only valid in the
-.B nat
-table, in the
-.B POSTROUTING
-chain. It should only be used with dynamically assigned IP (dialup)
-connections: if you have a static IP address, you should use the SNAT
-target. Masquerading is equivalent to specifying a mapping to the IP
-address of the interface the packet is going out, but also has the
-effect that connections are
-.I forgotten
-when the interface goes down. This is the correct behavior when the
-next dialup is unlikely to have the same interface address (and hence
-any established connections are lost anyway).
-.TP
-\fB\-\-to\-ports\fP \fIport\fP[\fB\-\fP\fIport\fP]
-This specifies a range of source ports to use, overriding the default
-.B SNAT
-source port-selection heuristics (see above). This is only valid
-if the rule also specifies one of the following protocols:
-\fBtcp\fP, \fBudp\fP, \fBdccp\fP or \fBsctp\fP.
-.TP
-\fB\-\-random\fP
-Randomize source port mapping
-If option
-\fB\-\-random\fP
-is used then port mapping will be randomized (kernel >= 2.6.21).
-.TP
-IPv6 support available since Linux kernels >= 3.7.
-.SS MIRROR (IPv4-specific)
-This is an experimental demonstration target which inverts the source
-and destination fields in the IP header and retransmits the packet.
-It is only valid in the
-.BR INPUT ,
-.B FORWARD
-and
-.B PREROUTING
-chains, and user-defined chains which are only called from those
-chains. Note that the outgoing packets are
-.B NOT
-seen by any packet filtering chains, connection tracking or NAT, to
-avoid loops and other problems.
-.SS NETMAP
-This target allows you to statically map a whole network of addresses onto
-another network of addresses. It can only be used from rules in the
-.B nat
-table.
-.TP
-\fB\-\-to\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-Network address to map to. The resulting address will be constructed in the
-following way: All 'one' bits in the mask are filled in from the new `address'.
-All bits that are zero in the mask are filled in from the original address.
-.TP
-IPv6 support available since Linux kernels >= 3.7.
-.SS NFLOG
-This target provides logging of matching packets. When this target is
-set for a rule, the Linux kernel will pass the packet to the loaded
-logging backend to log the packet. This is usually used in combination
-with nfnetlink_log as logging backend, which will multicast the packet
-through a
-.IR netlink
-socket to the specified multicast group. One or more userspace processes
-may subscribe to the group to receive the packets. Like LOG, this is a
-non-terminating target, i.e. rule traversal continues at the next rule.
-.TP
-\fB\-\-nflog\-group\fP \fInlgroup\fP
-The netlink group (0 - 2^16\-1) to which packets are (only applicable for
-nfnetlink_log). The default value is 0.
-.TP
-\fB\-\-nflog\-prefix\fP \fIprefix\fP
-A prefix string to include in the log message, up to 64 characters
-long, useful for distinguishing messages in the logs.
-.TP
-\fB\-\-nflog\-range\fP \fIsize\fP
-The number of bytes to be copied to userspace (only applicable for
-nfnetlink_log). nfnetlink_log instances may specify their own
-range, this option overrides it.
-.TP
-\fB\-\-nflog\-threshold\fP \fIsize\fP
-Number of packets to queue inside the kernel before sending them
-to userspace (only applicable for nfnetlink_log). Higher values
-result in less overhead per packet, but increase delay until the
-packets reach userspace. The default value is 1.
-.BR
-.SS NFQUEUE
-This target passes the packet to userspace using the
-\fBnfnetlink_queue\fP handler. The packet is put into the queue
-identified by its 16-bit queue number. Userspace can inspect
-and modify the packet if desired. Userspace must then drop or
-reinject the packet into the kernel. Please see libnetfilter_queue
-for details.
-.B
-nfnetlink_queue
-was added in Linux 2.6.14. The \fBqueue-balance\fP option was added in Linux 2.6.31,
-\fBqueue-bypass\fP in 2.6.39.
-.TP
-\fB\-\-queue\-num\fP \fIvalue\fP
-This specifies the QUEUE number to use. Valid queue numbers are 0 to 65535. The default value is 0.
-.PP
-.TP
-\fB\-\-queue\-balance\fP \fIvalue\fP\fB:\fP\fIvalue\fP
-This specifies a range of queues to use. Packets are then balanced across the given queues.
-This is useful for multicore systems: start multiple instances of the userspace program on
-queues x, x+1, .. x+n and use "\-\-queue\-balance \fIx\fP\fB:\fP\fIx+n\fP".
-Packets belonging to the same connection are put into the same nfqueue.
-.PP
-.TP
-\fB\-\-queue\-bypass\fP
-By default, if no userspace program is listening on an NFQUEUE, then all packets that are to be queued
-are dropped. When this option is used, the NFQUEUE rule behaves like ACCEPT instead, and the packet
-will move on to the next table.
-.PP
-.TP
-\fB\-\-queue\-cpu-fanout\fP
-Available starting Linux kernel 3.10. When used together with
-\fB--queue-balance\fP this will use the CPU ID as an index to map packets to
-the queues. The idea is that you can improve performance if there's a queue
-per CPU. This requires \fB--queue-balance\fP to be specified.
-.SS NOTRACK
-This extension disables connection tracking for all packets matching that rule.
-It is equivalent with \-j CT \-\-notrack. Like CT, NOTRACK can only be used in
-the \fBraw\fP table.
-.SS RATEEST
-The RATEEST target collects statistics, performs rate estimation calculation
-and saves the results for later evaluation using the \fBrateest\fP match.
-.TP
-\fB\-\-rateest\-name\fP \fIname\fP
-Count matched packets into the pool referred to by \fIname\fP, which is freely
-choosable.
-.TP
-\fB\-\-rateest\-interval\fP \fIamount\fP{\fBs\fP|\fBms\fP|\fBus\fP}
-Rate measurement interval, in seconds, milliseconds or microseconds.
-.TP
-\fB\-\-rateest\-ewmalog\fP \fIvalue\fP
-Rate measurement averaging time constant.
-.SS REDIRECT
-This target is only valid in the
-.B nat
-table, in the
-.B PREROUTING
-and
-.B OUTPUT
-chains, and user-defined chains which are only called from those
-chains. It redirects the packet to the machine itself by changing the
-destination IP to the primary address of the incoming interface
-(locally-generated packets are mapped to the localhost address,
-127.0.0.1 for IPv4 and ::1 for IPv6).
-.TP
-\fB\-\-to\-ports\fP \fIport\fP[\fB\-\fP\fIport\fP]
-This specifies a destination port or range of ports to use: without
-this, the destination port is never altered. This is only valid
-if the rule also specifies one of the following protocols:
-\fBtcp\fP, \fBudp\fP, \fBdccp\fP or \fBsctp\fP.
-.TP
-\fB\-\-random\fP
-If option
-\fB\-\-random\fP
-is used then port mapping will be randomized (kernel >= 2.6.22).
-.TP
-IPv6 support available starting Linux kernels >= 3.7.
-.SS REJECT (IPv6-specific)
-This is used to send back an error packet in response to the matched
-packet: otherwise it is equivalent to
-.B DROP
-so it is a terminating TARGET, ending rule traversal.
-This target is only valid in the
-.BR INPUT ,
-.B FORWARD
-and
-.B OUTPUT
-chains, and user-defined chains which are only called from those
-chains. The following option controls the nature of the error packet
-returned:
-.TP
-\fB\-\-reject\-with\fP \fItype\fP
-The type given can be
-\fBicmp6\-no\-route\fP,
-\fBno\-route\fP,
-\fBicmp6\-adm\-prohibited\fP,
-\fBadm\-prohibited\fP,
-\fBicmp6\-addr\-unreachable\fP,
-\fBaddr\-unreach\fP, or
-\fBicmp6\-port\-unreachable\fP,
-which return the appropriate ICMPv6 error message (\fBicmp6\-port\-unreachable\fP is
-the default). Finally, the option
-\fBtcp\-reset\fP
-can be used on rules which only match the TCP protocol: this causes a
-TCP RST packet to be sent back. This is mainly useful for blocking
-.I ident
-(113/tcp) probes which frequently occur when sending mail to broken mail
-hosts (which won't accept your mail otherwise).
-\fBtcp\-reset\fP
-can only be used with kernel versions 2.6.14 or later.
-.SS REJECT (IPv4-specific)
-This is used to send back an error packet in response to the matched
-packet: otherwise it is equivalent to
-.B DROP
-so it is a terminating TARGET, ending rule traversal.
-This target is only valid in the
-.BR INPUT ,
-.B FORWARD
-and
-.B OUTPUT
-chains, and user-defined chains which are only called from those
-chains. The following option controls the nature of the error packet
-returned:
-.TP
-\fB\-\-reject\-with\fP \fItype\fP
-The type given can be
-\fBicmp\-net\-unreachable\fP,
-\fBicmp\-host\-unreachable\fP,
-\fBicmp\-port\-unreachable\fP,
-\fBicmp\-proto\-unreachable\fP,
-\fBicmp\-net\-prohibited\fP,
-\fBicmp\-host\-prohibited\fP, or
-\fBicmp\-admin\-prohibited\fP (*),
-which return the appropriate ICMP error message (\fBicmp\-port\-unreachable\fP is
-the default). The option
-\fBtcp\-reset\fP
-can be used on rules which only match the TCP protocol: this causes a
-TCP RST packet to be sent back. This is mainly useful for blocking
-.I ident
-(113/tcp) probes which frequently occur when sending mail to broken mail
-hosts (which won't accept your mail otherwise).
-.PP
-(*) Using icmp\-admin\-prohibited with kernels that do not support it will result in a plain DROP instead of REJECT
-.SS SAME (IPv4-specific)
-Similar to SNAT/DNAT depending on chain: it takes a range of addresses
-(`\-\-to 1.2.3.4\-1.2.3.7') and gives a client the same
-source-/destination-address for each connection.
-.PP
-N.B.: The DNAT target's \fB\-\-persistent\fP option replaced the SAME target.
-.TP
-\fB\-\-to\fP \fIipaddr\fP[\fB\-\fP\fIipaddr\fP]
-Addresses to map source to. May be specified more than once for
-multiple ranges.
-.TP
-\fB\-\-nodst\fP
-Don't use the destination-ip in the calculations when selecting the
-new source-ip
-.TP
-\fB\-\-random\fP
-Port mapping will be forcibly randomized to avoid attacks based on
-port prediction (kernel >= 2.6.21).
-.SS SECMARK
-This is used to set the security mark value associated with the
-packet for use by security subsystems such as SELinux. It is
-valid in the
-.B security
-table (for backwards compatibility with older kernels, it is also
-valid in the
-.B mangle
-table). The mark is 32 bits wide.
-.TP
-\fB\-\-selctx\fP \fIsecurity_context\fP
-.SS SET
-This module adds and/or deletes entries from IP sets which can be defined
-by ipset(8).
-.TP
-\fB\-\-add\-set\fP \fIsetname\fP \fIflag\fP[\fB,\fP\fIflag\fP...]
-add the address(es)/port(s) of the packet to the set
-.TP
-\fB\-\-del\-set\fP \fIsetname\fP \fIflag\fP[\fB,\fP\fIflag\fP...]
-delete the address(es)/port(s) of the packet from the set
-.IP
-where \fIflag\fP(s) are
-.BR "src"
-and/or
-.BR "dst"
-specifications and there can be no more than six of them.
-.TP
-\fB\-\-timeout\fP \fIvalue\fP
-when adding an entry, the timeout value to use instead of the default
-one from the set definition
-.TP
-\fB\-\-exist\fP
-when adding an entry if it already exists, reset the timeout value
-to the specified one or to the default from the set definition
-.PP
-Use of -j SET requires that ipset kernel support is provided, which, for
-standard kernels, is the case since Linux 2.6.39.
-.SS SNAT
-This target is only valid in the
-.B nat
-table, in the
-.B POSTROUTING
-and
-.B INPUT
-chains, and user-defined chains which are only called from those
-chains. It specifies that the source address of the packet should be
-modified (and all future packets in this connection will also be
-mangled), and rules should cease being examined. It takes the
-following options:
-.TP
-\fB\-\-to\-source\fP [\fIipaddr\fP[\fB\-\fP\fIipaddr\fP]][\fB:\fP\fIport\fP[\fB\-\fP\fIport\fP]]
-which can specify a single new source IP address, an inclusive range
-of IP addresses. Optionally a port range,
-if the rule also specifies one of the following protocols:
-\fBtcp\fP, \fBudp\fP, \fBdccp\fP or \fBsctp\fP.
-If no port range is specified, then source ports below 512 will be
-mapped to other ports below 512: those between 512 and 1023 inclusive
-will be mapped to ports below 1024, and other ports will be mapped to
-1024 or above. Where possible, no port alteration will occur.
-In Kernels up to 2.6.10, you can add several \-\-to\-source options. For those
-kernels, if you specify more than one source address, either via an address
-range or multiple \-\-to\-source options, a simple round-robin (one after another
-in cycle) takes place between these addresses.
-Later Kernels (>= 2.6.11-rc1) don't have the ability to NAT to multiple ranges
-anymore.
-.TP
-\fB\-\-random\fP
-If option
-\fB\-\-random\fP
-is used then port mapping will be randomized (kernel >= 2.6.21).
-.TP
-\fB\-\-persistent\fP
-Gives a client the same source-/destination-address for each connection.
-This supersedes the SAME target. Support for persistent mappings is available
-from 2.6.29-rc2.
-.PP
-Kernels prior to 2.6.36-rc1 don't have the ability to
-.B SNAT
-in the
-.B INPUT
-chain.
-.TP
-IPv6 support available since Linux kernels >= 3.7.
-.SS SNPT (IPv6-specific)
-Provides stateless source IPv6-to-IPv6 Network Prefix Translation (as described
-by RFC 6296).
-.PP
-You have to use this target in the
-.B mangle
-table, not in the
-.B nat
-table. It takes the following options:
-.TP
-\fB\-\-src\-pfx\fP [\fIprefix/\fP\fIlength]
-Set source prefix that you want to translate and length
-.TP
-\fB\-\-dst\-pfx\fP [\fIprefix/\fP\fIlength]
-Set destination prefix that you want to use in the translation and length
-.PP
-You have to use the DNPT target to undo the translation. Example:
-.IP
-ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0
-\-j SNPT \-\-src-pfx fd00::/64 \-\-dst-pfx 2001:e20:2000:40f::/64
-.IP
-ip6tables \-t mangle \-I PREROUTING \-i wlan0 \-d 2001:e20:2000:40f::/64
-\-j DNPT \-\-src-pfx 2001:e20:2000:40f::/64 \-\-dst-pfx fd00::/64
-.PP
-You may need to enable IPv6 neighbor proxy:
-.IP
-sysctl -w net.ipv6.conf.all.proxy_ndp=1
-.PP
-You also have to use the
-.B NOTRACK
-target to disable connection tracking for translated flows.
-.SS TCPMSS
-This target allows to alter the MSS value of TCP SYN packets, to control
-the maximum size for that connection (usually limiting it to your
-outgoing interface's MTU minus 40 for IPv4 or 60 for IPv6, respectively).
-Of course, it can only be used
-in conjunction with
-\fB\-p tcp\fP.
-.PP
-This target is used to overcome criminally braindead ISPs or servers
-which block "ICMP Fragmentation Needed" or "ICMPv6 Packet Too Big"
-packets. The symptoms of this
-problem are that everything works fine from your Linux
-firewall/router, but machines behind it can never exchange large
-packets:
-.IP 1. 4
-Web browsers connect, then hang with no data received.
-.IP 2. 4
-Small mail works fine, but large emails hang.
-.IP 3. 4
-ssh works fine, but scp hangs after initial handshaking.
-.PP
-Workaround: activate this option and add a rule to your firewall
-configuration like:
-.IP
- iptables \-t mangle \-A FORWARD \-p tcp \-\-tcp\-flags SYN,RST SYN
- \-j TCPMSS \-\-clamp\-mss\-to\-pmtu
-.TP
-\fB\-\-set\-mss\fP \fIvalue\fP
-Explicitly sets MSS option to specified value. If the MSS of the packet is
-already lower than \fIvalue\fP, it will \fBnot\fP be increased (from Linux
-2.6.25 onwards) to avoid more problems with hosts relying on a proper MSS.
-.TP
-\fB\-\-clamp\-mss\-to\-pmtu\fP
-Automatically clamp MSS value to (path_MTU \- 40 for IPv4; \-60 for IPv6).
-This may not function as desired where asymmetric routes with differing
-path MTU exist \(em the kernel uses the path MTU which it would use to send
-packets from itself to the source and destination IP addresses. Prior to
-Linux 2.6.25, only the path MTU to the destination IP address was
-considered by this option; subsequent kernels also consider the path MTU
-to the source IP address.
-.PP
-These options are mutually exclusive.
-.SS TCPOPTSTRIP
-This target will strip TCP options off a TCP packet. (It will actually replace
-them by NO-OPs.) As such, you will need to add the \fB\-p tcp\fP parameters.
-.TP
-\fB\-\-strip\-options\fP \fIoption\fP[\fB,\fP\fIoption\fP...]
-Strip the given option(s). The options may be specified by TCP option number or
-by symbolic name. The list of recognized options can be obtained by calling
-iptables with \fB\-j TCPOPTSTRIP \-h\fP.
-.SS TEE
-The \fBTEE\fP target will clone a packet and redirect this clone to another
-machine on the \fBlocal\fP network segment. In other words, the nexthop
-must be the target, or you will have to configure the nexthop to forward it
-further if so desired.
-.TP
-\fB\-\-gateway\fP \fIipaddr\fP
-Send the cloned packet to the host reachable at the given IP address.
-Use of 0.0.0.0 (for IPv4 packets) or :: (IPv6) is invalid.
-.PP
-To forward all incoming traffic on eth0 to an Network Layer logging box:
-.PP
-\-t mangle \-A PREROUTING \-i eth0 \-j TEE \-\-gateway 2001:db8::1
-.SS TOS
-This module sets the Type of Service field in the IPv4 header (including the
-"precedence" bits) or the Priority field in the IPv6 header. Note that TOS
-shares the same bits as DSCP and ECN. The TOS target is only valid in the
-\fBmangle\fP table.
-.TP
-\fB\-\-set\-tos\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Zeroes out the bits given by \fImask\fP (see NOTE below) and XORs \fIvalue\fP
-into the TOS/Priority field. If \fImask\fP is omitted, 0xFF is assumed.
-.TP
-\fB\-\-set\-tos\fP \fIsymbol\fP
-You can specify a symbolic name when using the TOS target for IPv4. It implies
-a mask of 0xFF (see NOTE below). The list of recognized TOS names can be
-obtained by calling iptables with \fB\-j TOS \-h\fP.
-.PP
-The following mnemonics are available:
-.TP
-\fB\-\-and\-tos\fP \fIbits\fP
-Binary AND the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos
-0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP.
-See NOTE below.)
-.TP
-\fB\-\-or\-tos\fP \fIbits\fP
-Binary OR the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos\fP
-\fIbits\fP\fB/\fP\fIbits\fP. See NOTE below.)
-.TP
-\fB\-\-xor\-tos\fP \fIbits\fP
-Binary XOR the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos\fP
-\fIbits\fP\fB/0\fP. See NOTE below.)
-.PP
-NOTE: In Linux kernels up to and including 2.6.38, with the exception of
-longterm releases 2.6.32 (>=.42), 2.6.33 (>=.15), and 2.6.35 (>=.14), there is
-a bug whereby IPv6 TOS mangling does not behave as documented and differs from
-the IPv4 version. The TOS mask indicates the bits one wants to zero out, so it
-needs to be inverted before applying it to the original TOS field. However, the
-aformentioned kernels forgo the inversion which breaks --set-tos and its
-mnemonics.
-.SS TPROXY
-This target is only valid in the \fBmangle\fP table, in the \fBPREROUTING\fP
-chain and user-defined chains which are only called from this chain. It
-redirects the packet to a local socket without changing the packet header in
-any way. It can also change the mark value which can then be used in advanced
-routing rules.
-It takes three options:
-.TP
-\fB\-\-on\-port\fP \fIport\fP
-This specifies a destination port to use. It is a required option, 0 means the
-new destination port is the same as the original. This is only valid if the
-rule also specifies \fB\-p tcp\fP or \fB\-p udp\fP.
-.TP
-\fB\-\-on\-ip\fP \fIaddress\fP
-This specifies a destination address to use. By default the address is the IP
-address of the incoming interface. This is only valid if the rule also
-specifies \fB\-p tcp\fP or \fB\-p udp\fP.
-.TP
-\fB\-\-tproxy\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Marks packets with the given value/mask. The fwmark value set here can be used
-by advanced routing. (Required for transparent proxying to work: otherwise
-these packets will get forwarded, which is probably not what you want.)
-.SS TRACE
-This target marks packets so that the kernel will log every rule which match
-the packets as those traverse the tables, chains, rules.
-.PP
-A logging backend, such as ip(6)t_LOG or nfnetlink_log, must be loaded for this
-to be visible.
-The packets are logged with the string prefix:
-"TRACE: tablename:chainname:type:rulenum " where type can be "rule" for
-plain rule, "return" for implicit rule at the end of a user defined chain
-and "policy" for the policy of the built in chains.
-.br
-It can only be used in the
-.BR raw
-table.
-.SS TTL (IPv4-specific)
-This is used to modify the IPv4 TTL header field. The TTL field determines
-how many hops (routers) a packet can traverse until it's time to live is
-exceeded.
-.PP
-Setting or incrementing the TTL field can potentially be very dangerous,
-so it should be avoided at any cost. This target is only valid in
-.B mangle
-table.
-.PP
-.B Don't ever set or increment the value on packets that leave your local network!
-.TP
-\fB\-\-ttl\-set\fP \fIvalue\fP
-Set the TTL value to `value'.
-.TP
-\fB\-\-ttl\-dec\fP \fIvalue\fP
-Decrement the TTL value `value' times.
-.TP
-\fB\-\-ttl\-inc\fP \fIvalue\fP
-Increment the TTL value `value' times.
-.SS ULOG (IPv4-specific)
-This is the deprecated ipv4-only predecessor of the NFLOG target.
-It provides userspace logging of matching packets. When this
-target is set for a rule, the Linux kernel will multicast this packet
-through a
-.IR netlink
-socket. One or more userspace processes may then subscribe to various
-multicast groups and receive the packets.
-Like LOG, this is a "non-terminating target", i.e. rule traversal
-continues at the next rule.
-.TP
-\fB\-\-ulog\-nlgroup\fP \fInlgroup\fP
-This specifies the netlink group (1-32) to which the packet is sent.
-Default value is 1.
-.TP
-\fB\-\-ulog\-prefix\fP \fIprefix\fP
-Prefix log messages with the specified prefix; up to 32 characters
-long, and useful for distinguishing messages in the logs.
-.TP
-\fB\-\-ulog\-cprange\fP \fIsize\fP
-Number of bytes to be copied to userspace. A value of 0 always copies
-the entire packet, regardless of its size. Default is 0.
-.TP
-\fB\-\-ulog\-qthreshold\fP \fIsize\fP
-Number of packet to queue inside kernel. Setting this value to, e.g. 10
-accumulates ten packets inside the kernel and transmits them as one
-netlink multipart message to userspace. Default is 1 (for backwards
-compatibility).
-.br
+++ /dev/null
-.TH IPTABLES-RESTORE 8 "" "iptables 1.4.21" "iptables 1.4.21"
-.\"
-.\" Man page written by Harald Welte <laforge@gnumonks.org>
-.\" It is based on the iptables man page.
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH NAME
-iptables-restore \(em Restore IP Tables
-.P
-ip6tables-restore \(em Restore IPv6 Tables
-.SH SYNOPSIS
-\fBiptables\-restore\fP [\fB\-chntv\fP] [\fB\-M\fP \fImodprobe\fP]
-.P
-\fBip6tables\-restore\fP [\fB\-chntv\fP] [\fB\-M\fP \fImodprobe\fP]
-[\fB\-T\fP \fIname\fP]
-.SH DESCRIPTION
-.PP
-.B iptables-restore
-and
-.B ip6tables-restore
-are used to restore IP and IPv6 Tables from data specified on STDIN. Use
-I/O redirection provided by your shell to read from a file
-.TP
-\fB\-c\fR, \fB\-\-counters\fR
-restore the values of all packet and byte counters
-.TP
-\fB\-h\fP, \fB\-\-help\fP
-Print a short option summary.
-.TP
-\fB\-n\fR, \fB\-\-noflush\fR
-don't flush the previous contents of the table. If not specified,
-both commands flush (delete) all previous contents of the respective table.
-.TP
-\fB\-t\fP, \fB\-\-test\fP
-Only parse and construct the ruleset, but do not commit it.
-.TP
-\fB\-v\fP, \fB\-\-verbose\fP
-Print additional debug info during ruleset processing.
-.TP
-\fB\-M\fP, \fB\-\-modprobe\fP \fImodprobe_program\fP
-Specify the path to the modprobe program. By default, iptables-restore will
-inspect /proc/sys/kernel/modprobe to determine the executable's path.
-.TP
-\fB\-T\fP, \fB\-\-table\fP \fIname\fP
-Restore only the named table even if the input stream contains other ones.
-.SH BUGS
-None known as of iptables-1.2.1 release
-.SH AUTHORS
-Harald Welte <laforge@gnumonks.org> wrote iptables-restore based on code
-from Rusty Russell.
-.br
-Andras Kis-Szabo <kisza@sch.bme.hu> contributed ip6tables-restore.
-.SH SEE ALSO
-\fBiptables\-save\fP(8), \fBiptables\fP(8)
-.PP
-The iptables-HOWTO, which details more iptables usage, the NAT-HOWTO,
-which details NAT, and the netfilter-hacking-HOWTO which details the
-internals.
+++ /dev/null
-.TH IPTABLES-SAVE 8 "" "iptables 1.4.21" "iptables 1.4.21"
-.\"
-.\" Man page written by Harald Welte <laforge@gnumonks.org>
-.\" It is based on the iptables man page.
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH NAME
-iptables-save \(em dump iptables rules to stdout
-.P
-ip6tables-save \(em dump iptables rules to stdout
-.SH SYNOPSIS
-\fBiptables\-save\fP [\fB\-M\fP \fImodprobe\fP] [\fB\-c\fP]
-[\fB\-t\fP \fItable\fP]
-.P
-\fBip6tables\-save\fP [\fB\-M\fP \fImodprobe\fP] [\fB\-c\fP]
-[\fB\-t\fP \fItable\fP
-.SH DESCRIPTION
-.PP
-.B iptables-save
-and
-.B ip6tables-save
-are used to dump the contents of IP or IPv6 Table in easily parseable format
-to STDOUT. Use I/O-redirection provided by your shell to write to a file.
-.TP
-\fB\-M\fP \fImodprobe_program\fP
-Specify the path to the modprobe program. By default, iptables-save will
-inspect /proc/sys/kernel/modprobe to determine the executable's path.
-.TP
-\fB\-c\fR, \fB\-\-counters\fR
-include the current values of all packet and byte counters in the output
-.TP
-\fB\-t\fR, \fB\-\-table\fR \fItablename\fP
-restrict output to only one table. If not specified, output includes all
-available tables.
-.SH BUGS
-None known as of iptables-1.2.1 release
-.SH AUTHORS
-Harald Welte <laforge@gnumonks.org>
-.br
-Rusty Russell <rusty@rustcorp.com.au>
-.br
-Andras Kis-Szabo <kisza@sch.bme.hu> contributed ip6tables-save.
-.SH SEE ALSO
-\fBiptables\-restore\fP(8), \fBiptables\fP(8)
-.PP
-The iptables-HOWTO, which details more iptables usage, the NAT-HOWTO,
-which details NAT, and the netfilter-hacking-HOWTO which details the
-internals.
+++ /dev/null
-.TH IPTABLES 8 "" "iptables 1.4.21" "iptables 1.4.21"
-.\"
-.\" Man page written by Herve Eychenne <rv@wallfire.org> (May 1999)
-.\" It is based on ipchains page.
-.\" TODO: add a word for protocol helpers (FTP, IRC, SNMP-ALG)
-.\"
-.\" ipchains page by Paul ``Rusty'' Russell March 1997
-.\" Based on the original ipfwadm man page by Jos Vos <jos@xos.nl>
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH NAME
-iptables/ip6tables \(em administration tool for IPv4/IPv6 packet filtering and NAT
-.SH SYNOPSIS
-\fBiptables\fP [\fB\-t\fP \fItable\fP] {\fB\-A\fP|\fB\-C\fP|\fB\-D\fP}
-\fIchain\fP \fIrule-specification\fP
-.P
-\fBip6tables\fP [\fB\-t\fP \fItable\fP] {\fB\-A\fP|\fB\-C\fP|\fB\-D\fP}
-\fIchain rule-specification\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-I\fP \fIchain\fP [\fIrulenum\fP] \fIrule-specification\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-R\fP \fIchain rulenum rule-specification\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-D\fP \fIchain rulenum\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-S\fP [\fIchain\fP [\fIrulenum\fP]]
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] {\fB\-F\fP|\fB\-L\fP|\fB\-Z\fP} [\fIchain\fP [\fIrulenum\fP]] [\fIoptions...\fP]
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-N\fP \fIchain\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-X\fP [\fIchain\fP]
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-P\fP \fIchain target\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-E\fP \fIold-chain-name new-chain-name\fP
-.PP
-rule-specification = [\fImatches...\fP] [\fItarget\fP]
-.PP
-match = \fB\-m\fP \fImatchname\fP [\fIper-match-options\fP]
-.PP
-target = \fB\-j\fP \fItargetname\fP [\fIper\-target\-options\fP]
-.SH DESCRIPTION
-\fBIptables\fP and \fBip6tables\fP are used to set up, maintain, and inspect the
-tables of IPv4 and IPv6 packet
-filter rules in the Linux kernel. Several different tables
-may be defined. Each table contains a number of built-in
-chains and may also contain user-defined chains.
-.PP
-Each chain is a list of rules which can match a set of packets. Each
-rule specifies what to do with a packet that matches. This is called
-a `target', which may be a jump to a user-defined chain in the same
-table.
-.SH TARGETS
-A firewall rule specifies criteria for a packet and a target. If the
-packet does not match, the next rule in the chain is examined; if
-it does match, then the next rule is specified by the value of the
-target, which can be the name of a user-defined chain, one of the targets
-described in \fBiptables\-extensions\fP(8), or one of the
-special values \fBACCEPT\fP, \fBDROP\fP or \fBRETURN\fP.
-.PP
-\fBACCEPT\fP means to let the packet through.
-\fBDROP\fP means to drop the packet on the floor.
-\fBRETURN\fP means stop traversing this chain and resume at the next
-rule in the
-previous (calling) chain. If the end of a built-in chain is reached
-or a rule in a built-in chain with target \fBRETURN\fP
-is matched, the target specified by the chain policy determines the
-fate of the packet.
-.SH TABLES
-There are currently five independent tables (which tables are present
-at any time depends on the kernel configuration options and which
-modules are present).
-.TP
-\fB\-t\fP, \fB\-\-table\fP \fItable\fP
-This option specifies the packet matching table which the command
-should operate on. If the kernel is configured with automatic module
-loading, an attempt will be made to load the appropriate module for
-that table if it is not already there.
-
-The tables are as follows:
-.RS
-.TP .4i
-\fBfilter\fP:
-This is the default table (if no \-t option is passed). It contains
-the built-in chains \fBINPUT\fP (for packets destined to local sockets),
-\fBFORWARD\fP (for packets being routed through the box), and
-\fBOUTPUT\fP (for locally-generated packets).
-.TP
-\fBnat\fP:
-This table is consulted when a packet that creates a new
-connection is encountered. It consists of three built-ins: \fBPREROUTING\fP
-(for altering packets as soon as they come in), \fBOUTPUT\fP
-(for altering locally-generated packets before routing), and \fBPOSTROUTING\fP
-(for altering packets as they are about to go out).
-IPv6 NAT support is available since kernel 3.7.
-.TP
-\fBmangle\fP:
-This table is used for specialized packet alteration. Until kernel
-2.4.17 it had two built-in chains: \fBPREROUTING\fP
-(for altering incoming packets before routing) and \fBOUTPUT\fP
-(for altering locally-generated packets before routing).
-Since kernel 2.4.18, three other built-in chains are also supported:
-\fBINPUT\fP (for packets coming into the box itself), \fBFORWARD\fP
-(for altering packets being routed through the box), and \fBPOSTROUTING\fP
-(for altering packets as they are about to go out).
-.TP
-\fBraw\fP:
-This table is used mainly for configuring exemptions from connection
-tracking in combination with the NOTRACK target. It registers at the netfilter
-hooks with higher priority and is thus called before ip_conntrack, or any other
-IP tables. It provides the following built-in chains: \fBPREROUTING\fP
-(for packets arriving via any network interface) \fBOUTPUT\fP
-(for packets generated by local processes)
-.TP
-\fBsecurity\fP:
-This table is used for Mandatory Access Control (MAC) networking rules, such
-as those enabled by the \fBSECMARK\fP and \fBCONNSECMARK\fP targets.
-Mandatory Access Control is implemented by Linux Security Modules such as
-SELinux. The security table is called after the filter table, allowing any
-Discretionary Access Control (DAC) rules in the filter table to take effect
-before MAC rules. This table provides the following built-in chains:
-\fBINPUT\fP (for packets coming into the box itself),
-\fBOUTPUT\fP (for altering locally-generated packets before routing), and
-\fBFORWARD\fP (for altering packets being routed through the box).
-.RE
-.SH OPTIONS
-The options that are recognized by
-\fBiptables\fP and \fBip6tables\fP can be divided into several different groups.
-.SS COMMANDS
-These options specify the desired action to perform. Only one of them
-can be specified on the command line unless otherwise stated
-below. For long versions of the command and option names, you
-need to use only enough letters to ensure that
-\fBiptables\fP can differentiate it from all other options.
-.TP
-\fB\-A\fP, \fB\-\-append\fP \fIchain rule-specification\fP
-Append one or more rules to the end of the selected chain.
-When the source and/or destination names resolve to more than one
-address, a rule will be added for each possible address combination.
-.TP
-\fB\-C\fP, \fB\-\-check\fP \fIchain rule-specification\fP
-Check whether a rule matching the specification does exist in the
-selected chain. This command uses the same logic as \fB\-D\fP to
-find a matching entry, but does not alter the existing iptables
-configuration and uses its exit code to indicate success or failure.
-.TP
-\fB\-D\fP, \fB\-\-delete\fP \fIchain rule-specification\fP
-.ns
-.TP
-\fB\-D\fP, \fB\-\-delete\fP \fIchain rulenum\fP
-Delete one or more rules from the selected chain. There are two
-versions of this command: the rule can be specified as a number in the
-chain (starting at 1 for the first rule) or a rule to match.
-.TP
-\fB\-I\fP, \fB\-\-insert\fP \fIchain\fP [\fIrulenum\fP] \fIrule-specification\fP
-Insert one or more rules in the selected chain as the given rule
-number. So, if the rule number is 1, the rule or rules are inserted
-at the head of the chain. This is also the default if no rule number
-is specified.
-.TP
-\fB\-R\fP, \fB\-\-replace\fP \fIchain rulenum rule-specification\fP
-Replace a rule in the selected chain. If the source and/or
-destination names resolve to multiple addresses, the command will
-fail. Rules are numbered starting at 1.
-.TP
-\fB\-L\fP, \fB\-\-list\fP [\fIchain\fP]
-List all rules in the selected chain. If no chain is selected, all
-chains are listed. Like every other iptables command, it applies to the
-specified table (filter is the default), so NAT rules get listed by
-.nf
- iptables \-t nat \-n \-L
-.fi
-Please note that it is often used with the \fB\-n\fP
-option, in order to avoid long reverse DNS lookups.
-It is legal to specify the \fB\-Z\fP
-(zero) option as well, in which case the chain(s) will be atomically
-listed and zeroed. The exact output is affected by the other
-arguments given. The exact rules are suppressed until you use
-.nf
- iptables \-L \-v
-.fi
-.TP
-\fB\-S\fP, \fB\-\-list\-rules\fP [\fIchain\fP]
-Print all rules in the selected chain. If no chain is selected, all
-chains are printed like iptables-save. Like every other iptables command,
-it applies to the specified table (filter is the default).
-.TP
-\fB\-F\fP, \fB\-\-flush\fP [\fIchain\fP]
-Flush the selected chain (all the chains in the table if none is given).
-This is equivalent to deleting all the rules one by one.
-.TP
-\fB\-Z\fP, \fB\-\-zero\fP [\fIchain\fP [\fIrulenum\fP]]
-Zero the packet and byte counters in all chains, or only the given chain,
-or only the given rule in a chain. It is legal to
-specify the
-\fB\-L\fP, \fB\-\-list\fP
-(list) option as well, to see the counters immediately before they are
-cleared. (See above.)
-.TP
-\fB\-N\fP, \fB\-\-new\-chain\fP \fIchain\fP
-Create a new user-defined chain by the given name. There must be no
-target of that name already.
-.TP
-\fB\-X\fP, \fB\-\-delete\-chain\fP [\fIchain\fP]
-Delete the optional user-defined chain specified. There must be no references
-to the chain. If there are, you must delete or replace the referring rules
-before the chain can be deleted. The chain must be empty, i.e. not contain
-any rules. If no argument is given, it will attempt to delete every
-non-builtin chain in the table.
-.TP
-\fB\-P\fP, \fB\-\-policy\fP \fIchain target\fP
-Set the policy for the chain to the given target. See the section \fBTARGETS\fP
-for the legal targets. Only built-in (non-user-defined) chains can have
-policies, and neither built-in nor user-defined chains can be policy
-targets.
-.TP
-\fB\-E\fP, \fB\-\-rename\-chain\fP \fIold\-chain new\-chain\fP
-Rename the user specified chain to the user supplied name. This is
-cosmetic, and has no effect on the structure of the table.
-.TP
-\fB\-h\fP
-Help.
-Give a (currently very brief) description of the command syntax.
-.SS PARAMETERS
-The following parameters make up a rule specification (as used in the
-add, delete, insert, replace and append commands).
-.TP
-\fB\-4\fP, \fB\-\-ipv4\fP
-This option has no effect in iptables and iptables-restore.
-If a rule using the \fB\-4\fP option is inserted with (and only with)
-ip6tables-restore, it will be silently ignored. Any other uses will throw an
-error. This option allows to put both IPv4 and IPv6 rules in a single rule file
-for use with both iptables-restore and ip6tables-restore.
-.TP
-\fB\-6\fP, \fB\-\-ipv6\fP
-If a rule using the \fB\-6\fP option is inserted with (and only with)
-iptables-restore, it will be silently ignored. Any other uses will throw an
-error. This option allows to put both IPv4 and IPv6 rules in a single rule file
-for use with both iptables-restore and ip6tables-restore.
-This option has no effect in ip6tables and ip6tables-restore.
-.TP
-[\fB!\fP] \fB\-p\fP, \fB\-\-protocol\fP \fIprotocol\fP
-The protocol of the rule or of the packet to check.
-The specified protocol can be one of \fBtcp\fP, \fBudp\fP, \fBudplite\fP,
-\fBicmp\fP, \fBicmpv6\fP,\fBesp\fP, \fBah\fP, \fBsctp\fP, \fBmh\fP or the special keyword "\fBall\fP",
-or it can be a numeric value, representing one of these protocols or a
-different one. A protocol name from /etc/protocols is also allowed.
-A "!" argument before the protocol inverts the
-test. The number zero is equivalent to \fBall\fP. "\fBall\fP"
-will match with all protocols and is taken as default when this
-option is omitted.
-Note that, in ip6tables, IPv6 extension headers except \fBesp\fP are not allowed.
-\fBesp\fP and \fBipv6\-nonext\fP
-can be used with Kernel version 2.6.11 or later.
-The number zero is equivalent to \fBall\fP, which means that you cannot
-test the protocol field for the value 0 directly. To match on a HBH header,
-even if it were the last, you cannot use \fB\-p 0\fP, but always need
-\fB\-m hbh\fP.
-.TP
-[\fB!\fP] \fB\-s\fP, \fB\-\-source\fP \fIaddress\fP[\fB/\fP\fImask\fP][\fB,\fP\fI...\fP]
-Source specification. \fIAddress\fP
-can be either a network name, a hostname, a network IP address (with
-\fB/\fP\fImask\fP), or a plain IP address. Hostnames will
-be resolved once only, before the rule is submitted to the kernel.
-Please note that specifying any name to be resolved with a remote query such as
-DNS is a really bad idea.
-The \fImask\fP
-can be either an ipv4 network mask (for iptables) or a plain number,
-specifying the number of 1's at the left side of the network mask.
-Thus, an iptables mask of \fI24\fP is equivalent to \fI255.255.255.0\fP.
-A "!" argument before the address specification inverts the sense of
-the address. The flag \fB\-\-src\fP is an alias for this option.
-Multiple addresses can be specified, but this will \fBexpand to multiple
-rules\fP (when adding with \-A), or will cause multiple rules to be
-deleted (with \-D).
-.TP
-[\fB!\fP] \fB\-d\fP, \fB\-\-destination\fP \fIaddress\fP[\fB/\fP\fImask\fP][\fB,\fP\fI...\fP]
-Destination specification.
-See the description of the \fB\-s\fP
-(source) flag for a detailed description of the syntax. The flag
-\fB\-\-dst\fP is an alias for this option.
-.TP
-\fB\-m\fP, \fB\-\-match\fP \fImatch\fP
-Specifies a match to use, that is, an extension module that tests for a
-specific property. The set of matches make up the condition under which a
-target is invoked. Matches are evaluated first to last as specified on the
-command line and work in short-circuit fashion, i.e. if one extension yields
-false, evaluation will stop.
-.TP
-\fB\-j\fP, \fB\-\-jump\fP \fItarget\fP
-This specifies the target of the rule; i.e., what to do if the packet
-matches it. The target can be a user-defined chain (other than the
-one this rule is in), one of the special builtin targets which decide
-the fate of the packet immediately, or an extension (see \fBEXTENSIONS\fP
-below). If this
-option is omitted in a rule (and \fB\-g\fP
-is not used), then matching the rule will have no
-effect on the packet's fate, but the counters on the rule will be
-incremented.
-.TP
-\fB\-g\fP, \fB\-\-goto\fP \fIchain\fP
-This specifies that the processing should continue in a user
-specified chain. Unlike the \-\-jump option return will not continue
-processing in this chain but instead in the chain that called us via
-\-\-jump.
-.TP
-[\fB!\fP] \fB\-i\fP, \fB\-\-in\-interface\fP \fIname\fP
-Name of an interface via which a packet was received (only for
-packets entering the \fBINPUT\fP, \fBFORWARD\fP and \fBPREROUTING\fP
-chains). When the "!" argument is used before the interface name, the
-sense is inverted. If the interface name ends in a "+", then any
-interface which begins with this name will match. If this option is
-omitted, any interface name will match.
-.TP
-[\fB!\fP] \fB\-o\fP, \fB\-\-out\-interface\fP \fIname\fP
-Name of an interface via which a packet is going to be sent (for packets
-entering the \fBFORWARD\fP, \fBOUTPUT\fP and \fBPOSTROUTING\fP
-chains). When the "!" argument is used before the interface name, the
-sense is inverted. If the interface name ends in a "+", then any
-interface which begins with this name will match. If this option is
-omitted, any interface name will match.
-.TP
-[\fB!\fP] \fB\-f\fP, \fB\-\-fragment\fP
-This means that the rule only refers to second and further IPv4 fragments
-of fragmented packets. Since there is no way to tell the source or
-destination ports of such a packet (or ICMP type), such a packet will
-not match any rules which specify them. When the "!" argument
-precedes the "\-f" flag, the rule will only match head fragments, or
-unfragmented packets. This option is IPv4 specific, it is not available
-in ip6tables.
-.TP
-\fB\-c\fP, \fB\-\-set\-counters\fP \fIpackets bytes\fP
-This enables the administrator to initialize the packet and byte
-counters of a rule (during \fBINSERT\fP, \fBAPPEND\fP, \fBREPLACE\fP
-operations).
-.SS "OTHER OPTIONS"
-The following additional options can be specified:
-.TP
-\fB\-v\fP, \fB\-\-verbose\fP
-Verbose output. This option makes the list command show the interface
-name, the rule options (if any), and the TOS masks. The packet and
-byte counters are also listed, with the suffix 'K', 'M' or 'G' for
-1000, 1,000,000 and 1,000,000,000 multipliers respectively (but see
-the \fB\-x\fP flag to change this).
-For appending, insertion, deletion and replacement, this causes
-detailed information on the rule or rules to be printed. \fB\-v\fP may be
-specified multiple times to possibly emit more detailed debug statements.
-.TP
-\fB\-w\fP, \fB\-\-wait\fP
-Wait for the xtables lock.
-To prevent multiple instances of the program from running concurrently,
-an attempt will be made to obtain an exclusive lock at launch. By default,
-the program will exit if the lock cannot be obtained. This option will
-make the program wait until the exclusive lock can be obtained.
-.TP
-\fB\-n\fP, \fB\-\-numeric\fP
-Numeric output.
-IP addresses and port numbers will be printed in numeric format.
-By default, the program will try to display them as host names,
-network names, or services (whenever applicable).
-.TP
-\fB\-x\fP, \fB\-\-exact\fP
-Expand numbers.
-Display the exact value of the packet and byte counters,
-instead of only the rounded number in K's (multiples of 1000)
-M's (multiples of 1000K) or G's (multiples of 1000M). This option is
-only relevant for the \fB\-L\fP command.
-.TP
-\fB\-\-line\-numbers\fP
-When listing rules, add line numbers to the beginning of each rule,
-corresponding to that rule's position in the chain.
-.TP
-\fB\-\-modprobe=\fP\fIcommand\fP
-When adding or inserting rules into a chain, use \fIcommand\fP
-to load any necessary modules (targets, match extensions, etc).
-.SH MATCH AND TARGET EXTENSIONS
-.PP
-iptables can use extended packet matching and target modules.
-A list of these is available in the \fBiptables\-extensions\fP(8) manpage.
-.SH DIAGNOSTICS
-Various error messages are printed to standard error. The exit code
-is 0 for correct functioning. Errors which appear to be caused by
-invalid or abused command line parameters cause an exit code of 2, and
-other errors cause an exit code of 1.
-.SH BUGS
-Bugs? What's this? ;-)
-Well, you might want to have a look at http://bugzilla.netfilter.org/
-.SH COMPATIBILITY WITH IPCHAINS
-This \fBiptables\fP
-is very similar to ipchains by Rusty Russell. The main difference is
-that the chains \fBINPUT\fP and \fBOUTPUT\fP
-are only traversed for packets coming into the local host and
-originating from the local host respectively. Hence every packet only
-passes through one of the three chains (except loopback traffic, which
-involves both INPUT and OUTPUT chains); previously a forwarded packet
-would pass through all three.
-.PP
-The other main difference is that \fB\-i\fP refers to the input interface;
-\fB\-o\fP refers to the output interface, and both are available for packets
-entering the \fBFORWARD\fP chain.
-.PP
-The various forms of NAT have been separated out; \fBiptables\fP
-is a pure packet filter when using the default `filter' table, with
-optional extension modules. This should simplify much of the previous
-confusion over the combination of IP masquerading and packet filtering
-seen previously. So the following options are handled differently:
-.nf
- \-j MASQ
- \-M \-S
- \-M \-L
-.fi
-There are several other changes in iptables.
-.SH SEE ALSO
-\fBiptables\-apply\fP(8),
-\fBiptables\-save\fP(8),
-\fBiptables\-restore\fP(8),
-\fBiptables\-extensions\fP(8),
-.PP
-The packet-filtering-HOWTO details iptables usage for
-packet filtering, the NAT-HOWTO details NAT,
-the netfilter-extensions-HOWTO details the extensions that are
-not in the standard distribution,
-and the netfilter-hacking-HOWTO details the netfilter internals.
-.br
-See
-.BR "http://www.netfilter.org/" .
-.SH AUTHORS
-Rusty Russell originally wrote iptables, in early consultation with Michael
-Neuling.
-.PP
-Marc Boucher made Rusty abandon ipnatctl by lobbying for a generic packet
-selection framework in iptables, then wrote the mangle table, the owner match,
-the mark stuff, and ran around doing cool stuff everywhere.
-.PP
-James Morris wrote the TOS target, and tos match.
-.PP
-Jozsef Kadlecsik wrote the REJECT target.
-.PP
-Harald Welte wrote the ULOG and NFQUEUE target, the new libiptc, as well as the TTL, DSCP, ECN matches and targets.
-.PP
-The Netfilter Core Team is: Marc Boucher, Martin Josefsson, Yasuyuki Kozakai,
-Jozsef Kadlecsik, Patrick McHardy, James Morris, Pablo Neira Ayuso,
-Harald Welte and Rusty Russell.
-.PP
-Man page originally written by Herve Eychenne <rv@wallfire.org>.
-.\" .. and did I mention that we are incredibly cool people?
-.\" .. sexy, too ..
-.\" .. witty, charming, powerful ..
-.\" .. and most of all, modest ..
-.SH VERSION
-.PP
-This manual page applies to iptables/ip6tables 1.4.21.
+++ /dev/null
-diff --git a/manual/iptables/original/man3/libipq.3 b/manual/iptables/original/man3/libipq.3
-index 611fcdf..e619c23 100644
---- a/manual/iptables/original/man3/libipq.3
-+++ b/manual/iptables/original/man3/libipq.3
-@@ -46,9 +46,9 @@ and queued for userspace processing via the QUEUE target. For example,
- running the following commands:
- .PP
- # modprobe iptable_filter
--.br
-+.br
- # modprobe ip_queue
--.br
-+.br
- # iptables \-A OUTPUT \-p icmp \-j QUEUE
- .PP
- will cause any locally generated ICMP packets (e.g. ping output) to
+++ /dev/null
-PO4A-HEADER: mode=before; position=^\.TH
-.\"
-.\" Japanese Version Copyright (c) 2003 Yuichi SATO
-.\" all rights reserved.
-.\" Translated 2003-05-01, Yuichi SATO <ysato444@yahoo.co.jp>
-.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
+++ /dev/null
-PO4A-HEADER: mode=before; position=^\.TH
-.\"
-.\" Japanese Version Copyright (c) 2003 Yuichi SATO
-.\" all rights reserved.
-.\" Translated 2003-05-01, Yuichi SATO <ysato444@yahoo.co.jp>
-.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
+++ /dev/null
-PO4A-HEADER: mode=before; position=^\.TH
-.\"
-.\" Japanese Version Copyright (c) 2001-2004 Yuichi SATO
-.\" all right reserved.
-.\" Translated 2001-12-01, Yuichi SATO <ysato@h4.dion.ne.jp>
-.\" Updated & Modified 2004-02-08, Yuichi SATO <ysato444@yahoo.co.jp>
-.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
+++ /dev/null
-PO4A-HEADER: mode=before; position=^\.TH
-.\"
-.\" Japanese Version Copyright (c) 2013 Akihiro MOTOKI
-.\" all rights reserved.
-.\" Translated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
+++ /dev/null
-PO4A-HEADER: mode=before; position=^\.TH
-.\"
-.\" Japanese Version Copyright (c) 2013 Akihiro MOTOKI
-.\" all rights reserved.
-.\" Translated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
+++ /dev/null
-PO4A-HEADER: mode=before; position=^\.TH
-.\"
-.\" Japanese Version Copyright (c) 2001 Yuichi SATO
-.\" all rights reserved.
-.\" Translated 2001-05-15, Yuichi SATO <ysato@h4.dion.ne.jp>
-.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
+++ /dev/null
-PO4A-HEADER: mode=before; position=^\.TH
-.\"
-.\" Japanese Version Copyright (c) 2001 Yuichi SATO
-.\" all rights reserved.
-.\" Translated 2001-05-15, Yuichi SATO <ysato@h4.dion.ne.jp>
-.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
+++ /dev/null
-PO4A-HEADER: mode=before; position=^\.TH
-.\"
-.\" Japanese Version Copyright (c) 2013 Akihiro MOTOKI
-.\" all rights reserved.
-.\" Translated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
+++ /dev/null
-PO4A-HEADER: mode=before; position=^\.TH
-.\"
-.\" Japanese Version Copyright (c) 2001, 2004 Yuichi SATO
-.\" all right reserved.
-.\" Translated 2001-07-29, Yuichi SATO <ysato@h4.dion.ne.jp>
-.\" Updated & Modified 2001-09-12, Yuichi SATO
-.\" Updated 2003-05-28, System Design and Research Institute Co., Ltd.
-.\" Updated & Modified 2004-02-21, Yuichi SATO <ysato444@yahoo.co.jp>
-.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
+++ /dev/null
-# SOME DESCRIPTIVE TITLE
-# Copyright (C) YEAR Free Software Foundation, Inc.
-# This file is distributed under the same license as the PACKAGE package.
-# FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.
-#
-msgid ""
-msgstr ""
-"Project-Id-Version: PACKAGE VERSION\n"
-"POT-Creation-Date: 2014-05-07 04:08+0900\n"
-"PO-Revision-Date: 2014-05-07 04:12+0900\n"
-"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
-"Language-Team: LANGUAGE <LL@li.org>\n"
-"Language: \n"
-"MIME-Version: 1.0\n"
-"Content-Type: text/plain; charset=UTF-8\n"
-"Content-Transfer-Encoding: 8bit\n"
-
-#. type: TH
-#, no-wrap
-msgid "IPTABLES-XML"
-msgstr "IPTABLES-XML"
-
-#. type: TH
-#, no-wrap
-msgid "iptables 1.4.21"
-msgstr "iptables 1.4.21"
-
-#. Man page written by Sam Liddicott <azez@ufomechanic.net>
-#. It is based on the iptables-save man page.
-#. This program is free software; you can redistribute it and/or modify
-#. it under the terms of the GNU General Public License as published by
-#. the Free Software Foundation; either version 2 of the License, or
-#. (at your option) any later version.
-#. This program is distributed in the hope that it will be useful,
-#. but WITHOUT ANY WARRANTY; without even the implied warranty of
-#. MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-#. GNU General Public License for more details.
-#. You should have received a copy of the GNU General Public License
-#. along with this program; if not, write to the Free Software
-#. Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-#. type: SH
-#, no-wrap
-msgid "NAME"
-msgstr "名前"
-
-#. type: Plain text
-msgid "iptables-xml \\(em Convert iptables-save format to XML"
-msgstr "iptables-xml \\(em iptables-xml 形式から XML 形式へ変換する"
-
-#. type: SH
-#, no-wrap
-msgid "SYNOPSIS"
-msgstr "書式"
-
-#. type: Plain text
-msgid "B<iptables-xml> [B<-c>] [B<-v>]"
-msgstr "B<iptables-xml> [B<-c>] [B<-v>]"
-
-#. type: SH
-#, no-wrap
-msgid "DESCRIPTION"
-msgstr "説明"
-
-#. type: Plain text
-msgid "B<iptables-xml> is used to convert the output of iptables-save into an easily manipulatable XML format to STDOUT. Use I/O-redirection provided by your shell to write to a file."
-msgstr "B<iptables-xml> を使うと、iptables-save の出力をより扱いやすい XML 形式に変換し、標準出力に出力することができる。 ファイルに書き出すには、シェルで提供されている I/O リダイレクションを使うこと。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-c>, B<--combine>"
-msgstr "B<-c>, B<--combine>"
-
-#. type: Plain text
-msgid "combine consecutive rules with the same matches but different targets. iptables does not currently support more than one target per match, so this simulates that by collecting the targets from consecutive iptables rules into one action tag, but only when the rule matches are identical. Terminating actions like RETURN, DROP, ACCEPT and QUEUE are not combined with subsequent targets."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<-v>, B<--verbose>"
-msgstr "B<-v>, B<--verbose>"
-
-#. type: Plain text
-msgid "Output xml comments containing the iptables line from which the XML is derived"
-msgstr "XML の生成元となった iptables の行を XML コメントとして出力する。"
-
-#. type: Plain text
-msgid "iptables-xml does a mechanistic conversion to a very expressive xml format; the only semantic considerations are for -g and -j targets in order to discriminate between E<lt>callE<gt> E<lt>gotoE<gt> and E<lt>nane-of-targetE<gt> as it helps xml processing scripts if they can tell the difference between a target like SNAT and another chain."
-msgstr ""
-
-#. type: Plain text
-msgid "Some sample output is:"
-msgstr "出力例を以下に示す。"
-
-#. type: Plain text
-#, no-wrap
-msgid ""
-"E<lt>iptables-rulesE<gt>\n"
-" E<lt>table name=\"mangle\"E<gt>\n"
-" E<lt>chain name=\"PREROUTING\" policy=\"ACCEPT\" packet-count=\"63436\"\n"
-"byte-count=\"7137573\"E<gt>\n"
-" E<lt>ruleE<gt>\n"
-" E<lt>conditionsE<gt>\n"
-" E<lt>matchE<gt>\n"
-" E<lt>pE<gt>tcpE<lt>/pE<gt>\n"
-" E<lt>/matchE<gt>\n"
-" E<lt>tcpE<gt>\n"
-" E<lt>sportE<gt>8443E<lt>/sportE<gt>\n"
-" E<lt>/tcpE<gt>\n"
-" E<lt>/conditionsE<gt>\n"
-" E<lt>actionsE<gt>\n"
-" E<lt>callE<gt>\n"
-" E<lt>check_ip/E<gt>\n"
-" E<lt>/callE<gt>\n"
-" E<lt>ACCEPT/E<gt>\n"
-" E<lt>/actionsE<gt>\n"
-" E<lt>/ruleE<gt>\n"
-" E<lt>/chainE<gt>\n"
-" E<lt>/tableE<gt>\n"
-"E<lt>/iptables-rulesE<gt>\n"
-msgstr ""
-"E<lt>iptables-rulesE<gt>\n"
-" E<lt>table name=\"mangle\"E<gt>\n"
-" E<lt>chain name=\"PREROUTING\" policy=\"ACCEPT\" packet-count=\"63436\"\n"
-"byte-count=\"7137573\"E<gt>\n"
-" E<lt>ruleE<gt>\n"
-" E<lt>conditionsE<gt>\n"
-" E<lt>matchE<gt>\n"
-" E<lt>pE<gt>tcpE<lt>/pE<gt>\n"
-" E<lt>/matchE<gt>\n"
-" E<lt>tcpE<gt>\n"
-" E<lt>sportE<gt>8443E<lt>/sportE<gt>\n"
-" E<lt>/tcpE<gt>\n"
-" E<lt>/conditionsE<gt>\n"
-" E<lt>actionsE<gt>\n"
-" E<lt>callE<gt>\n"
-" E<lt>check_ip/E<gt>\n"
-" E<lt>/callE<gt>\n"
-" E<lt>ACCEPT/E<gt>\n"
-" E<lt>/actionsE<gt>\n"
-" E<lt>/ruleE<gt>\n"
-" E<lt>/chainE<gt>\n"
-" E<lt>/tableE<gt>\n"
-"E<lt>/iptables-rulesE<gt>\n"
-
-#. type: Plain text
-msgid "Conversion from XML to iptables-save format may be done using the iptables.xslt script and xsltproc, or a custom program using libxsltproc or similar; in this fashion:"
-msgstr "XML から iptables-save への変換は、以下のように iptables.xslt スクリプトと xsltproc を使って行うことができる。 libxsltproc などを使ったカスタムプログラムで行うことができる。"
-
-#. type: Plain text
-msgid "xsltproc iptables.xslt my-iptables.xml | iptables-restore"
-msgstr "xsltproc iptables.xslt my-iptables.xml | iptables-restore"
-
-#. type: SH
-#, no-wrap
-msgid "BUGS"
-msgstr "バグ"
-
-#. type: Plain text
-msgid "None known as of iptables-1.3.7 release"
-msgstr "iptables-1.3.7 リリースの時点では知られていない。"
-
-#. type: SH
-#, no-wrap
-msgid "AUTHOR"
-msgstr "作者"
-
-#. type: Plain text
-msgid "Sam Liddicott E<lt>azez@ufomechanic.netE<gt>"
-msgstr "Sam Liddicott E<lt>azez@ufomechanic.netE<gt>"
-
-#. type: SH
-#, no-wrap
-msgid "SEE ALSO"
-msgstr "関連項目"
-
-#. type: Plain text
-msgid "B<iptables-save>(8), B<iptables-restore>(8), B<iptables>(8)"
-msgstr "B<iptables-save>(8), B<iptables-restore>(8), B<iptables>(8)"
-
-#~ msgid "Jul 16, 2007"
-#~ msgstr "Jul 16, 2007"
+++ /dev/null
-# SOME DESCRIPTIVE TITLE
-# Copyright (C) YEAR Free Software Foundation, Inc.
-# This file is distributed under the same license as the PACKAGE package.
-# FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.
-#
-#, fuzzy
-msgid ""
-msgstr ""
-"Project-Id-Version: PACKAGE VERSION\n"
-"POT-Creation-Date: 2013-04-08 14:07+0900\n"
-"PO-Revision-Date: 2013-04-08 14:12+0900\n"
-"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
-"Language-Team: LANGUAGE <LL@li.org>\n"
-"Language: \n"
-"MIME-Version: 1.0\n"
-"Content-Type: text/plain; charset=UTF-8\n"
-"Content-Transfer-Encoding: 8bit\n"
-
-#. type: TH
-#, no-wrap
-msgid "IPQ_CREATE_HANDLE"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "16 October 2001"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "Linux iptables 1.2"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "Linux Programmer's Manual"
-msgstr ""
-
-#
-#
-#
-#
-#. Copyright (c) 2000-2001 Netfilter Core Team
-#. This program is free software; you can redistribute it and/or modify
-#. it under the terms of the GNU General Public License as published by
-#. the Free Software Foundation; either version 2 of the License, or
-#. (at your option) any later version.
-#. This program is distributed in the hope that it will be useful,
-#. but WITHOUT ANY WARRANTY; without even the implied warranty of
-#. MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-#. GNU General Public License for more details.
-#. You should have received a copy of the GNU General Public License
-#. along with this program; if not, write to the Free Software
-#. Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-#. type: SH
-#, no-wrap
-msgid "NAME"
-msgstr ""
-
-#. type: Plain text
-msgid "ipq_create_handle, ipq_destroy_handle \\(em create and destroy libipq handles."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "SYNOPSIS"
-msgstr ""
-
-#. type: Plain text
-msgid "B<#include E<lt>linux/netfilter.hE<gt>>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<#include E<lt>libipq.hE<gt>>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<struct ipq_handle *ipq_create_handle(u_int32_t >I<flags>B<, u_int32_t >I<protocol>B<);>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<int ipq_destroy_handle(struct ipq_handle *>I<h>B<);>"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "DESCRIPTION"
-msgstr ""
-
-#. type: Plain text
-msgid "The B<ipq_create_handle> function initialises libipq for an application, attempts to bind to the Netlink socket used by ip_queue, and returns an opaque context handle. It should be the first libipq function to be called by an application. The handle returned should be used in all subsequent library calls which require a handle parameter."
-msgstr ""
-
-#. type: Plain text
-msgid "The I<flags> parameter is not currently used and should be set to zero by the application for forward compatibility."
-msgstr ""
-
-#. type: Plain text
-msgid "The I<protocol> parameter is used to specify the protocol of the packets to be queued. Valid values are NFPROTO_IPV4 for IPv4 and NFPROTO_IPV6 for IPv6. Currently, only one protocol may be queued at a time for a handle."
-msgstr ""
-
-#. type: Plain text
-msgid "The B<ipq_destroy_handle> function frees up resources allocated by B<ipq_create_handle>, and should be used when the handle is no longer required by the application."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "RETURN VALUES"
-msgstr ""
-
-#. type: Plain text
-msgid "On success, B<ipq_create_handle> returns a pointer to a context handle."
-msgstr ""
-
-#. type: Plain text
-msgid "On failure, NULL is returned."
-msgstr ""
-
-#. type: Plain text
-msgid "On success, B<ipq_destroy_handle> returns zero."
-msgstr ""
-
-#. type: Plain text
-msgid "On failure, -1 is returned."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "ERRORS"
-msgstr ""
-
-#. type: Plain text
-msgid "On failure, a descriptive error message will be available via the B<ipq_errstr> function."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "BUGS"
-msgstr ""
-
-#. type: Plain text
-msgid "None known."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "AUTHOR"
-msgstr ""
-
-#. type: Plain text
-msgid "James Morris E<lt>jmorris@intercode.com.auE<gt>"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "COPYRIGHT"
-msgstr ""
-
-#. type: Plain text
-msgid "Copyright (c) 2000-2001 Netfilter Core Team."
-msgstr ""
-
-#. type: Plain text
-msgid "Distributed under the GNU General Public License."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "SEE ALSO"
-msgstr ""
-
-#. type: Plain text
-msgid "B<iptables>(8), B<libipq>(3)."
-msgstr ""
+++ /dev/null
-# SOME DESCRIPTIVE TITLE
-# Copyright (C) YEAR Free Software Foundation, Inc.
-# This file is distributed under the same license as the PACKAGE package.
-# FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.
-#
-#, fuzzy
-msgid ""
-msgstr ""
-"Project-Id-Version: PACKAGE VERSION\n"
-"POT-Creation-Date: 2013-04-08 14:07+0900\n"
-"PO-Revision-Date: 2013-04-08 14:13+0900\n"
-"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
-"Language-Team: LANGUAGE <LL@li.org>\n"
-"Language: \n"
-"MIME-Version: 1.0\n"
-"Content-Type: text/plain; charset=UTF-8\n"
-"Content-Transfer-Encoding: 8bit\n"
-
-#. type: TH
-#, no-wrap
-msgid "IPQ_ERRSTR"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "16 October 2001"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "Linux iptables 1.2"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "Linux Programmer's Manual"
-msgstr ""
-
-#
-#
-#
-#
-#. Copyright (c) 2000 Netfilter Core Team
-#. This program is free software; you can redistribute it and/or modify
-#. it under the terms of the GNU General Public License as published by
-#. the Free Software Foundation; either version 2 of the License, or
-#. (at your option) any later version.
-#. This program is distributed in the hope that it will be useful,
-#. but WITHOUT ANY WARRANTY; without even the implied warranty of
-#. MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-#. GNU General Public License for more details.
-#. You should have received a copy of the GNU General Public License
-#. along with this program; if not, write to the Free Software
-#. Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-#. type: SH
-#, no-wrap
-msgid "NAME"
-msgstr ""
-
-#. type: Plain text
-msgid "ipq_errstr, ipq_perror \\(em libipq error handling routines"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "SYNOPSIS"
-msgstr ""
-
-#. type: Plain text
-msgid "B<#include E<lt>linux/netfilter.hE<gt>>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<#include E<lt>libipq.hE<gt>>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<char *ipq_errstr(>I<void>B<);>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<void ipq_perror(const char *>I<s>B<);>"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "DESCRIPTION"
-msgstr ""
-
-#. type: Plain text
-msgid "The B<ipq_errstr> function returns a descriptive error message based on the current value of the internal B<ipq_errno> variable. All libipq API functions set this internal variable upon failure."
-msgstr ""
-
-#. type: Plain text
-msgid "The B<ipq_perror> function prints an error message to stderr corresponding to the current value of the internal B<ipq_error> variable, and the global B<errno> variable (if set). The error message is prefixed with the string I<s> as supplied by the application. If I<s> is NULL, the error message is prefixed with the string \"ERROR\"."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "RETURN VALUE"
-msgstr ""
-
-#. type: Plain text
-msgid "B<ipq_errstr> returns an error message as outlined above."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "BUGS"
-msgstr ""
-
-#. type: Plain text
-msgid "None known."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "AUTHOR"
-msgstr ""
-
-#. type: Plain text
-msgid "James Morris E<lt>jmorris@intercode.com.auE<gt>"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "COPYRIGHT"
-msgstr ""
-
-#. type: Plain text
-msgid "Copyright (c) 2000-2001 Netfilter Core Team."
-msgstr ""
-
-#. type: Plain text
-msgid "Distributed under the GNU General Public License."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "SEE ALSO"
-msgstr ""
-
-#. type: Plain text
-msgid "B<iptables>(8), B<libipq>(3)."
-msgstr ""
+++ /dev/null
-# SOME DESCRIPTIVE TITLE
-# Copyright (C) YEAR Free Software Foundation, Inc.
-# This file is distributed under the same license as the PACKAGE package.
-# FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.
-#
-#, fuzzy
-msgid ""
-msgstr ""
-"Project-Id-Version: PACKAGE VERSION\n"
-"POT-Creation-Date: 2013-04-08 14:07+0900\n"
-"PO-Revision-Date: 2013-04-08 14:29+0900\n"
-"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
-"Language-Team: LANGUAGE <LL@li.org>\n"
-"Language: \n"
-"MIME-Version: 1.0\n"
-"Content-Type: text/plain; charset=UTF-8\n"
-"Content-Transfer-Encoding: 8bit\n"
-
-#. type: TH
-#, no-wrap
-msgid "IPQ_MESSAGE_TYPE"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "16 October 2001"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "Linux iptables 1.2"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "Linux Programmer's Manual"
-msgstr ""
-
-#
-#
-#
-#
-#. Copyright (c) 2000-2001 Netfilter Core Team
-#. This program is free software; you can redistribute it and/or modify
-#. it under the terms of the GNU General Public License as published by
-#. the Free Software Foundation; either version 2 of the License, or
-#. (at your option) any later version.
-#. This program is distributed in the hope that it will be useful,
-#. but WITHOUT ANY WARRANTY; without even the implied warranty of
-#. MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-#. GNU General Public License for more details.
-#. You should have received a copy of the GNU General Public License
-#. along with this program; if not, write to the Free Software
-#. Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-#. type: SH
-#, no-wrap
-msgid "NAME"
-msgstr ""
-
-#. type: Plain text
-msgid "ipq_message_type, ipq_get_packet, ipq_getmsgerr \\(em query queue messages"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "SYNOPSIS"
-msgstr ""
-
-#. type: Plain text
-msgid "B<#include E<lt>linux/netfilter.hE<gt>>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<#include E<lt>libipq.hE<gt>>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<int ipq_message_type(const unsigned char *>I<buf>B<);>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<ipq_packet_msg_t *ipq_get_packet(const unsigned char *>I<buf>B<);>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<int ipq_get_msgerr(const unsigned char *>I<buf>B<);>"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "DESCRIPTION"
-msgstr ""
-
-#. type: Plain text
-msgid "The B<ipq_message_type> function returns the type of queue message returned to userspace via B<ipq_read>."
-msgstr ""
-
-#. type: Plain text
-msgid "B<ipq_message_type> should always be called following a successful call to B<ipq_read> to determine whether the message is a packet message or an error message. The I<buf> parameter should be the same data obtained from the previous call to B<ipq_read>."
-msgstr ""
-
-#. type: Plain text
-msgid "B<ipq_message_type> will return one of the following values:"
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<NLMSG_ERROR>"
-msgstr ""
-
-#. type: Plain text
-msgid "An error message generated by the Netlink transport."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<IPQM_PACKET>"
-msgstr ""
-
-#. type: Plain text
-msgid "A packet message containing packet metadata and optional packet payload data."
-msgstr ""
-
-#. type: Plain text
-msgid "The B<ipq_get_packet> function should be called if B<ipq_message_type> returns B<IPQM_PACKET>. The I<buf> parameter should point to the same data used for the call to B<ipq_message_type>. The pointer returned by B<ipq_get_packet> points to a packet message, which is declared as follows:"
-msgstr ""
-
-#. type: Plain text
-#, no-wrap
-msgid ""
-"typedef struct ipq_packet_msg {\n"
-"\tunsigned long packet_id; /* ID of queued packet */\n"
-"\tunsigned long mark; /* Netfilter mark value */\n"
-"\tlong timestamp_sec; /* Packet arrival time (seconds) */\n"
-"\tlong timestamp_usec; /* Packet arrvial time (+useconds) */\n"
-"\tunsigned int hook; /* Netfilter hook we rode in on */\n"
-"\tchar indev_name[IFNAMSIZ]; /* Name of incoming interface */\n"
-"\tchar outdev_name[IFNAMSIZ]; /* Name of outgoing interface */\n"
-"\tunsigned short hw_protocol; /* Hardware protocol (network order) */\n"
-"\tunsigned short hw_type; /* Hardware type */\n"
-"\tunsigned char hw_addrlen; /* Hardware address length */\n"
-"\tunsigned char hw_addr[8]; /* Hardware address */\n"
-"\tsize_t data_len; /* Length of packet data */\n"
-"\tunsigned char payload[0]; /* Optional packet data */\n"
-"} ipq_packet_msg_t;\n"
-msgstr ""
-
-#. type: Plain text
-msgid "Each of these fields may be read by the application. If the queue mode is B<IPQ_COPY_PACKET> and the I<data_len> value is greater than zero, the packet payload contents may be accessed in the memory following the B<ipq_packet_msg_t> structure to a range of I<data_len.>"
-msgstr ""
-
-#. type: Plain text
-msgid "The I<packet_id> field contains a packet identifier to be used when calling B<ipq_set_verdict>."
-msgstr ""
-
-#. type: Plain text
-msgid "The B<ipq_get_msgerr> function should be called if B<ipq_message_type> returns B<NLMSG_ERROR.> The I<buf> parameter should point to the same data used for the call to B<ipq_message_type>. The value returned by B<ipq_get_msgerr> is set by higher level kernel code and corresponds to standard B<errno> values."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "BUGS"
-msgstr ""
-
-#. type: Plain text
-msgid "None known."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "AUTHOR"
-msgstr ""
-
-#. type: Plain text
-msgid "James Morris E<lt>jmorris@intercode.com.auE<gt>"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "COPYRIGHT"
-msgstr ""
-
-#. type: Plain text
-msgid "Copyright (c) 2000-2001 Netfilter Core Team."
-msgstr ""
-
-#. type: Plain text
-msgid "Distributed under the GNU General Public License."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "SEE ALSO"
-msgstr ""
-
-#. type: Plain text
-msgid "B<iptables>(8), B<libipq>(3)."
-msgstr ""
+++ /dev/null
-# SOME DESCRIPTIVE TITLE
-# Copyright (C) YEAR Free Software Foundation, Inc.
-# This file is distributed under the same license as the PACKAGE package.
-# FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.
-#
-#, fuzzy
-msgid ""
-msgstr ""
-"Project-Id-Version: PACKAGE VERSION\n"
-"POT-Creation-Date: 2013-04-08 14:07+0900\n"
-"PO-Revision-Date: 2013-04-08 14:29+0900\n"
-"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
-"Language-Team: LANGUAGE <LL@li.org>\n"
-"Language: \n"
-"MIME-Version: 1.0\n"
-"Content-Type: text/plain; charset=UTF-8\n"
-"Content-Transfer-Encoding: 8bit\n"
-
-#. type: TH
-#, no-wrap
-msgid "IPQ_READ"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "16 October 2001"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "Linux iptables 1.2"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "Linux Programmer's Manual"
-msgstr ""
-
-#
-#
-#
-#
-#. Copyright (c) 2000-2001 Netfilter Core Team
-#. This program is free software; you can redistribute it and/or modify
-#. it under the terms of the GNU General Public License as published by
-#. the Free Software Foundation; either version 2 of the License, or
-#. (at your option) any later version.
-#. This program is distributed in the hope that it will be useful,
-#. but WITHOUT ANY WARRANTY; without even the implied warranty of
-#. MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-#. GNU General Public License for more details.
-#. You should have received a copy of the GNU General Public License
-#. along with this program; if not, write to the Free Software
-#. Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-#. type: SH
-#, no-wrap
-msgid "NAME"
-msgstr ""
-
-#. type: Plain text
-msgid "ipq_read \\(em read queue messages from ip_queue and read into supplied buffer"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "SYNOPSIS"
-msgstr ""
-
-#. type: Plain text
-msgid "B<#include E<lt>linux/netfilter.hE<gt>>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<#include E<lt>libipq.hE<gt>>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<ssize_t ipq_read(const struct ipq_handle *>I<h>B<, unsigned char *>I<buf>B<, size_t >I<len>B<, int >I<timeout>B<);>"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "DESCRIPTION"
-msgstr ""
-
-#. type: Plain text
-msgid "The B<ipq_read> function reads a queue message from the kernel and copies it to the memory pointed to by I<buf> to a maximum length of I<len>."
-msgstr ""
-
-#. type: Plain text
-msgid "The I<h> parameter is a context handle which must previously have been returned successfully from a call to B<ipq_create_handle>."
-msgstr ""
-
-#. type: Plain text
-msgid "The caller is responsible for ensuring that the memory pointed to by I<buf> is large enough to contain I<len> bytes."
-msgstr ""
-
-#. type: Plain text
-msgid "The I<timeout> parameter may be used to set a timeout for the operation, specified in microseconds. This is implemented internally by the library via the B<select> system call. A value of zero provides normal, backwards-compatible blocking behaviour with no timeout. A negative value causes the function to return immediately."
-msgstr ""
-
-#. type: Plain text
-msgid "Data returned via I<buf> should not be accessed directly. Use the B<ipq_message_type>, B<ipq_get_packet>, and B<ipq_get_msgerr> functions to access the queue message in the buffer."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "RETURN VALUE"
-msgstr ""
-
-#. type: Plain text
-msgid "On failure, -1 is returned."
-msgstr ""
-
-#. type: Plain text
-msgid "On success, a non-zero positive value is returned when no timeout value is specified."
-msgstr ""
-
-#. type: Plain text
-msgid "On success with a timeout value specified, zero is returned if no data was available to read, or if a non-blocked signal was caught. In the latter case, the global B<errno> value will be set to B<EINTR>."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "ERRORS"
-msgstr ""
-
-#. type: Plain text
-msgid "On error, a descriptive error message will be available via the B<ipq_errstr> function."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "DIAGNOSTICS"
-msgstr ""
-
-#. type: Plain text
-msgid "While the B<ipq_read> function may return successfully, the queue message copied to the buffer may itself be an error message from a higher level kernel component. Use B<ipq_message_type> to determine if it is an error message, and B<ipq_get_msgerr> to access the value of the message."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "BUGS"
-msgstr ""
-
-#. type: Plain text
-msgid "None known."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "AUTHOR"
-msgstr ""
-
-#. type: Plain text
-msgid "James Morris E<lt>jmorris@intercode.com.auE<gt>"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "COPYRIGHT"
-msgstr ""
-
-#. type: Plain text
-msgid "Copyright (c) 2000-2001 Netfilter Core Team."
-msgstr ""
-
-#. type: Plain text
-msgid "Distributed under the GNU General Public License."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "CREDITS"
-msgstr ""
-
-#. type: Plain text
-msgid "Joost Remijn implemented the timeout feature, which appeared in the 1.2.4 release of iptables."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "SEE ALSO"
-msgstr ""
-
-#. type: Plain text
-msgid "B<iptables>(8), B<libipq>(3), B<select>(2)."
-msgstr ""
+++ /dev/null
-# SOME DESCRIPTIVE TITLE
-# Copyright (C) YEAR Free Software Foundation, Inc.
-# This file is distributed under the same license as the PACKAGE package.
-# FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.
-#
-#, fuzzy
-msgid ""
-msgstr ""
-"Project-Id-Version: PACKAGE VERSION\n"
-"POT-Creation-Date: 2013-04-08 14:07+0900\n"
-"PO-Revision-Date: 2013-04-08 14:29+0900\n"
-"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
-"Language-Team: LANGUAGE <LL@li.org>\n"
-"Language: \n"
-"MIME-Version: 1.0\n"
-"Content-Type: text/plain; charset=UTF-8\n"
-"Content-Transfer-Encoding: 8bit\n"
-
-#. type: TH
-#, no-wrap
-msgid "IPQ_SET_MODE"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "16 October 2001"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "Linux iptables 1.2"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "Linux Programmer's Manual"
-msgstr ""
-
-#
-#
-#
-#
-#. Copyright (c) 2000-2001 Netfilter Core Team
-#. This program is free software; you can redistribute it and/or modify
-#. it under the terms of the GNU General Public License as published by
-#. the Free Software Foundation; either version 2 of the License, or
-#. (at your option) any later version.
-#. This program is distributed in the hope that it will be useful,
-#. but WITHOUT ANY WARRANTY; without even the implied warranty of
-#. MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-#. GNU General Public License for more details.
-#. You should have received a copy of the GNU General Public License
-#. along with this program; if not, write to the Free Software
-#. Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-#. type: SH
-#, no-wrap
-msgid "NAME"
-msgstr ""
-
-#. type: Plain text
-msgid "ipq_set_mode \\(em set the ip_queue queuing mode"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "SYNOPSIS"
-msgstr ""
-
-#. type: Plain text
-msgid "B<#include E<lt>linux/netfilter.hE<gt>>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<#include E<lt>libipq.hE<gt>>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<int ipq_set_mode(const struct ipq_handle *>I<h>B<, u_int8_t >I<mode>B<, size_t >I<range>B<);>"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "DESCRIPTION"
-msgstr ""
-
-#. type: Plain text
-msgid "The B<ipq_set_mode> function sends a message to the kernel ip_queue module, specifying whether packet metadata only, or packet payloads as well as metadata should be copied to userspace."
-msgstr ""
-
-#. type: Plain text
-msgid "The I<h> parameter is a context handle which must previously have been returned successfully from a call to B<ipq_create_handle>."
-msgstr ""
-
-#. type: Plain text
-msgid "The I<mode> parameter must be one of:"
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<IPQ_COPY_META>"
-msgstr ""
-
-#. type: Plain text
-msgid "Copy only packet metadata to userspace."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<IPQ_COPY_PACKET>"
-msgstr ""
-
-#. type: Plain text
-msgid "Copy packet metadata and packet payloads to userspace."
-msgstr ""
-
-#. type: Plain text
-msgid "The I<range> parameter is used to specify how many bytes of the payload to copy to userspace. It is only valid for B<IPQ_COPY_PACKET> mode and is otherwise ignored. The maximum useful value for I<range> is 65535 (greater values will be clamped to this by ip_queue)."
-msgstr ""
-
-#. type: Plain text
-msgid "B<ipq_set_mode> is usually used immediately following B<ipq_create_handle> to enable the flow of packets to userspace."
-msgstr ""
-
-#. type: Plain text
-msgid "Note that as the underlying Netlink messaging transport is connectionless, the ip_queue module does not know that a userspace application is ready to communicate until it receives a message such as this."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "RETURN VALUE"
-msgstr ""
-
-#. type: Plain text
-msgid "On failure, -1 is returned."
-msgstr ""
-
-#. type: Plain text
-msgid "On success, a non-zero positive value is returned."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "ERRORS"
-msgstr ""
-
-#. type: Plain text
-msgid "On failure, a descriptive error message will be available via the B<ipq_errstr> function."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "DIAGNOSTICS"
-msgstr ""
-
-#. type: Plain text
-msgid "A relatively common failure may occur if the ip_queue module is not loaded. In this case, the following code excerpt:"
-msgstr ""
-
-#. type: Plain text
-#, no-wrap
-msgid ""
-"status = ipq_set_mode(h, IPQ_COPY_META, 0);\n"
-"if (status E<lt> 0) {\n"
-"\tipq_perror(\"myapp\");\n"
-"\tipq_destroy_handle(h);\n"
-"\texit(1);\n"
-"}\n"
-msgstr ""
-
-#. type: Plain text
-msgid "would generate the following output:"
-msgstr ""
-
-#. type: Plain text
-msgid "I<myapp: Failed to send netlink message: Connection refused>"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "BUGS"
-msgstr ""
-
-#. type: Plain text
-msgid "None known."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "AUTHOR"
-msgstr ""
-
-#. type: Plain text
-msgid "James Morris E<lt>jmorris@intercode.com.auE<gt>"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "COPYRIGHT"
-msgstr ""
-
-#. type: Plain text
-msgid "Copyright (c) 2000-2001 Netfilter Core Team."
-msgstr ""
-
-#. type: Plain text
-msgid "Distributed under the GNU General Public License."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "SEE ALSO"
-msgstr ""
-
-#. type: Plain text
-msgid "B<libipq>(3), B<iptables>(8)."
-msgstr ""
+++ /dev/null
-# SOME DESCRIPTIVE TITLE
-# Copyright (C) YEAR Free Software Foundation, Inc.
-# This file is distributed under the same license as the PACKAGE package.
-# FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.
-#
-#, fuzzy
-msgid ""
-msgstr ""
-"Project-Id-Version: PACKAGE VERSION\n"
-"POT-Creation-Date: 2013-04-08 14:07+0900\n"
-"PO-Revision-Date: 2013-04-08 14:29+0900\n"
-"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
-"Language-Team: LANGUAGE <LL@li.org>\n"
-"Language: \n"
-"MIME-Version: 1.0\n"
-"Content-Type: text/plain; charset=UTF-8\n"
-"Content-Transfer-Encoding: 8bit\n"
-
-#. type: TH
-#, no-wrap
-msgid "IPQ_SET_VERDICT"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "16 October 2001"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "Linux iptables 1.2"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "Linux Programmer's Manual"
-msgstr ""
-
-#
-#
-#
-#
-#. Copyright (c) 2000-2001 Netfilter Core Team
-#. This program is free software; you can redistribute it and/or modify
-#. it under the terms of the GNU General Public License as published by
-#. the Free Software Foundation; either version 2 of the License, or
-#. (at your option) any later version.
-#. This program is distributed in the hope that it will be useful,
-#. but WITHOUT ANY WARRANTY; without even the implied warranty of
-#. MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-#. GNU General Public License for more details.
-#. You should have received a copy of the GNU General Public License
-#. along with this program; if not, write to the Free Software
-#. Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-#. type: SH
-#, no-wrap
-msgid "NAME"
-msgstr ""
-
-#. type: Plain text
-msgid "ipq_set_verdict \\(em issue verdict and optionally modified packet to kernel"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "SYNOPSIS"
-msgstr ""
-
-#. type: Plain text
-msgid "B<#include E<lt>linux/netfilter.hE<gt>>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<#include E<lt>libipq.hE<gt>>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<int ipq_set_verdict(const struct ipq_handle *>I<h>B<, ipq_id_t >I<id>B<, unsigned int >I<verdict>B<, size_t >I<data_len>B<, unsigned char *>I<buf>B<);>"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "DESCRIPTION"
-msgstr ""
-
-#. type: Plain text
-msgid "The B<ipq_set_verdict> function issues a verdict on a packet previously obtained with B<ipq_read>, specifing the intended disposition of the packet, and optionally supplying a modified version of the payload data."
-msgstr ""
-
-#. type: Plain text
-msgid "The I<h> parameter is a context handle which must previously have been returned successfully from a call to B<ipq_create_handle>."
-msgstr ""
-
-#. type: Plain text
-msgid "The I<id> parameter is the packet identifier obtained via B<ipq_get_packet>."
-msgstr ""
-
-#. type: Plain text
-msgid "The I<verdict> parameter must be one of:"
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<NF_ACCEPT>"
-msgstr ""
-
-#. type: Plain text
-msgid "Accept the packet and continue traversal within the kernel."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<NF_DROP>"
-msgstr ""
-
-#. type: Plain text
-msgid "Drop the packet."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<NF_QUEUE>"
-msgstr ""
-
-#. type: Plain text
-msgid "Requeue the packet."
-msgstr ""
-
-#. type: Plain text
-msgid "B<NF_STOLEN> and B<NF_REPEAT> are kernel-internal constants and should not be used from userspace as their exact side effects have not been investigated."
-msgstr ""
-
-#. type: Plain text
-msgid "The I<data_len> parameter is the length of the data pointed to by I<buf>, the optional replacement payload data."
-msgstr ""
-
-#. type: Plain text
-msgid "If simply setting a verdict without modifying the payload data, use zero for I<data_len> and NULL for I<buf>."
-msgstr ""
-
-#. type: Plain text
-msgid "The application is responsible for recalculating any packet checksums when modifying packets."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "RETURN VALUE"
-msgstr ""
-
-#. type: Plain text
-msgid "On failure, -1 is returned."
-msgstr ""
-
-#. type: Plain text
-msgid "On success, a non-zero positive value is returned."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "ERRORS"
-msgstr ""
-
-#. type: Plain text
-msgid "On error, a descriptive error message will be available via the B<ipq_errstr> function."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "BUGS"
-msgstr ""
-
-#. type: Plain text
-msgid "None known."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "AUTHOR"
-msgstr ""
-
-#. type: Plain text
-msgid "James Morris E<lt>jmorris@intercode.com.auE<gt>"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "COPYRIGHT"
-msgstr ""
-
-#. type: Plain text
-msgid "Copyright (c) 2000-2001 Netfilter Core Team."
-msgstr ""
-
-#. type: Plain text
-msgid "Distributed under the GNU General Public License."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "SEE ALSO"
-msgstr ""
-
-#. type: Plain text
-msgid "B<iptables>(8), B<libipq>(3)."
-msgstr ""
+++ /dev/null
-# SOME DESCRIPTIVE TITLE
-# Copyright (C) YEAR Free Software Foundation, Inc.
-# This file is distributed under the same license as the PACKAGE package.
-# FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.
-#
-#, fuzzy
-msgid ""
-msgstr ""
-"Project-Id-Version: PACKAGE VERSION\n"
-"POT-Creation-Date: 2013-04-08 14:07+0900\n"
-"PO-Revision-Date: 2013-04-08 14:30+0900\n"
-"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
-"Language-Team: LANGUAGE <LL@li.org>\n"
-"Language: \n"
-"MIME-Version: 1.0\n"
-"Content-Type: text/plain; charset=UTF-8\n"
-"Content-Transfer-Encoding: 8bit\n"
-
-#. type: TH
-#, no-wrap
-msgid "LIBIPQ"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "16 October 2001"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "Linux iptables 1.2"
-msgstr ""
-
-#. type: TH
-#, no-wrap
-msgid "Linux Programmer's Manual"
-msgstr ""
-
-#
-#
-#
-#
-#. Copyright (c) 2000-2001 Netfilter Core Team
-#. This program is free software; you can redistribute it and/or modify
-#. it under the terms of the GNU General Public License as published by
-#. the Free Software Foundation; either version 2 of the License, or
-#. (at your option) any later version.
-#. This program is distributed in the hope that it will be useful,
-#. but WITHOUT ANY WARRANTY; without even the implied warranty of
-#. MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-#. GNU General Public License for more details.
-#. You should have received a copy of the GNU General Public License
-#. along with this program; if not, write to the Free Software
-#. Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-#. type: SH
-#, no-wrap
-msgid "NAME"
-msgstr ""
-
-#. type: Plain text
-msgid "libipq \\(em iptables userspace packet queuing library."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "SYNOPSIS"
-msgstr ""
-
-#. type: Plain text
-msgid "B<#include E<lt>linux/netfilter.hE<gt>>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<#include E<lt>libipq.hE<gt>>"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "DESCRIPTION"
-msgstr ""
-
-#. type: Plain text
-msgid "libipq is a development library for iptables userspace packet queuing."
-msgstr ""
-
-#. type: SS
-#, no-wrap
-msgid "Userspace Packet Queuing"
-msgstr ""
-
-#. type: Plain text
-msgid "Netfilter provides a mechanism for passing packets out of the stack for queueing to userspace, then receiving these packets back into the kernel with a verdict specifying what to do with the packets (such as ACCEPT or DROP). These packets may also be modified in userspace prior to reinjection back into the kernel."
-msgstr ""
-
-#. type: Plain text
-msgid "For each supported protocol, a kernel module called a I<queue handler> may register with Netfilter to perform the mechanics of passing packets to and from userspace."
-msgstr ""
-
-#. type: Plain text
-msgid "The standard queue handler for IPv4 is ip_queue. It is provided as an experimental module with 2.4 kernels, and uses a Netlink socket for kernel/userspace communication."
-msgstr ""
-
-#. type: Plain text
-msgid "Once ip_queue is loaded, IP packets may be selected with iptables and queued for userspace processing via the QUEUE target. For example, running the following commands:"
-msgstr ""
-
-#. type: Plain text
-msgid " # modprobe iptable_filter"
-msgstr ""
-
-#. type: Plain text
-msgid " # modprobe ip_queue"
-msgstr ""
-
-#. type: Plain text
-msgid " # iptables -A OUTPUT -p icmp -j QUEUE"
-msgstr ""
-
-#. type: Plain text
-msgid "will cause any locally generated ICMP packets (e.g. ping output) to be sent to the ip_queue module, which will then attempt to deliver the packets to a userspace application. If no userspace application is waiting, the packets will be dropped"
-msgstr ""
-
-#. type: Plain text
-msgid "An application may receive and process these packets via libipq."
-msgstr ""
-
-#. type: SS
-#, no-wrap
-msgid "Libipq Overview"
-msgstr ""
-
-#. type: Plain text
-msgid "Libipq provides an API for communicating with ip_queue. The following is an overview of API usage, refer to individual man pages for more details on each function."
-msgstr ""
-
-#. type: Plain text
-msgid "B<Initialisation>"
-msgstr ""
-
-#. type: Plain text
-msgid "To initialise the library, call B<ipq_create_handle>(3). This will attempt to bind to the Netlink socket used by ip_queue and return an opaque context handle for subsequent library calls."
-msgstr ""
-
-#. type: Plain text
-msgid "B<Setting the Queue Mode>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<ipq_set_mode>(3) allows the application to specify whether packet metadata, or packet payloads as well as metadata are copied to userspace. It is also used to initially notify ip_queue that an application is ready to receive queue messages."
-msgstr ""
-
-#. type: Plain text
-msgid "B<Receiving Packets from the Queue>"
-msgstr ""
-
-#. type: Plain text
-msgid "B<ipq_read>(3) waits for queue messages to arrive from ip_queue and copies them into a supplied buffer. Queue messages may be I<packet messages> or I<error messages.>"
-msgstr ""
-
-#. type: Plain text
-msgid "The type of packet may be determined with B<ipq_message_type>(3)."
-msgstr ""
-
-#. type: Plain text
-msgid "If it's a packet message, the metadata and optional payload may be retrieved with B<ipq_get_packet>(3)."
-msgstr ""
-
-#. type: Plain text
-msgid "To retrieve the value of an error message, use B<ipq_get_msgerr>(3)."
-msgstr ""
-
-#. type: Plain text
-msgid "B<Issuing Verdicts on Packets>"
-msgstr ""
-
-#. type: Plain text
-msgid "To issue a verdict on a packet, and optionally return a modified version of the packet to the kernel, call B<ipq_set_verdict>(3)."
-msgstr ""
-
-#. type: Plain text
-msgid "B<Error Handling>"
-msgstr ""
-
-#. type: Plain text
-msgid "An error string corresponding to the current value of the internal error variable B<ipq_errno> may be obtained with B<ipq_errstr>(3)."
-msgstr ""
-
-#. type: Plain text
-msgid "For simple applications, calling B<ipq_perror>(3) will print the same message as B<ipq_errstr>(3), as well as the string corresponding to the global B<errno> value (if set) to stderr."
-msgstr ""
-
-#. type: Plain text
-msgid "B<Cleaning Up>"
-msgstr ""
-
-#. type: Plain text
-msgid "To free up the Netlink socket and destroy resources associated with the context handle, call B<ipq_destroy_handle>(3)."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "SUMMARY"
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<ipq_create_handle>(3)"
-msgstr ""
-
-#. type: Plain text
-msgid "Initialise library, return context handle."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<ipq_set_mode>(3)"
-msgstr ""
-
-#. type: Plain text
-msgid "Set the queue mode, to copy either packet metadata, or payloads as well as metadata to userspace."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<ipq_read>(3)"
-msgstr ""
-
-#. type: Plain text
-msgid "Wait for a queue message to arrive from ip_queue and read it into a buffer."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<ipq_message_type>(3)"
-msgstr ""
-
-#. type: Plain text
-msgid "Determine message type in the buffer."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<ipq_get_packet>(3)"
-msgstr ""
-
-#. type: Plain text
-msgid "Retrieve a packet message from the buffer."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<ipq_get_msgerr>(3)"
-msgstr ""
-
-#. type: Plain text
-msgid "Retrieve an error message from the buffer."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<ipq_set_verdict>(3)"
-msgstr ""
-
-#. type: Plain text
-msgid "Set a verdict on a packet, optionally replacing its contents."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<ipq_errstr>(3)"
-msgstr ""
-
-#. type: Plain text
-msgid "Return an error message corresponding to the internal ipq_errno variable."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<ipq_perror>(3)"
-msgstr ""
-
-#. type: Plain text
-msgid "Helper function to print error messages to stderr."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<ipq_destroy_handle>(3)"
-msgstr ""
-
-#. type: Plain text
-msgid "Destroy context handle and associated resources."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "EXAMPLE"
-msgstr ""
-
-#. type: Plain text
-msgid "The following is an example of a simple application which receives packets and issues NF_ACCEPT verdicts on each packet."
-msgstr ""
-
-#. type: Plain text
-#, no-wrap
-msgid ""
-"/*\n"
-" * This code is GPL.\n"
-" */\n"
-"#include E<lt>linux/netfilter.hE<gt>\n"
-"#include E<lt>libipq.hE<gt>\n"
-"#include E<lt>stdio.hE<gt>\n"
-msgstr ""
-
-#. type: Plain text
-#, no-wrap
-msgid "#define BUFSIZE 2048 \n"
-msgstr ""
-
-#. type: Plain text
-#, no-wrap
-msgid ""
-"static void die(struct ipq_handle *h)\n"
-"{\n"
-"\tipq_perror(\"passer\");\n"
-"\tipq_destroy_handle(h);\n"
-"\texit(1);\n"
-"}\n"
-msgstr ""
-
-#. type: Plain text
-#, no-wrap
-msgid ""
-"int main(int argc, char **argv)\n"
-"{\n"
-"\tint status;\n"
-"\tunsigned char buf[BUFSIZE];\n"
-"\tstruct ipq_handle *h;\n"
-"\t\n"
-"\th = ipq_create_handle(0, NFPROTO_IPV4);\n"
-"\tif (!h)\n"
-"\t\tdie(h);\n"
-"\t\t\n"
-"\tstatus = ipq_set_mode(h, IPQ_COPY_PACKET, BUFSIZE);\n"
-"\tif (status E<lt> 0)\n"
-"\t\tdie(h);\n"
-"\t\t\n"
-"\tdo{\n"
-"\t\tstatus = ipq_read(h, buf, BUFSIZE, 0);\n"
-"\t\tif (status E<lt> 0)\n"
-"\t\t\tdie(h);\n"
-"\t\t\t\n"
-"\t\tswitch (ipq_message_type(buf)) {\n"
-"\t\t\tcase NLMSG_ERROR:\n"
-"\t\t\t\tfprintf(stderr, \"Received error message %d\\en\",\n"
-"\t\t\t\t ipq_get_msgerr(buf));\n"
-"\t\t\t\tbreak;\n"
-"\t\t\t\t\n"
-"\t\t\tcase IPQM_PACKET: {\n"
-"\t\t\t\tipq_packet_msg_t *m = ipq_get_packet(buf);\n"
-"\t\t\t\t\n"
-"\t\t\t\tstatus = ipq_set_verdict(h, m-E<gt>packet_id,\n"
-"\t\t\t\t NF_ACCEPT, 0, NULL);\n"
-"\t\t\t\tif (status E<lt> 0)\n"
-"\t\t\t\t\tdie(h);\n"
-"\t\t\t\tbreak;\n"
-"\t\t\t}\n"
-"\t\t\t\n"
-"\t\t\tdefault:\n"
-"\t\t\t\tfprintf(stderr, \"Unknown message type!\\en\");\n"
-"\t\t\t\tbreak;\n"
-"\t\t}\n"
-"\t} while (1);\n"
-"\t\n"
-"\tipq_destroy_handle(h);\n"
-"\treturn 0;\n"
-"}\n"
-msgstr ""
-
-#. type: Plain text
-msgid "Pointers to more libipq application examples may be found in The Netfilter FAQ."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "DIAGNOSTICS"
-msgstr ""
-
-#. type: Plain text
-msgid "For information about monitoring and tuning ip_queue, refer to the Linux 2.4 Packet Filtering HOWTO."
-msgstr ""
-
-#. type: Plain text
-msgid "If an application modifies a packet, it needs to also update any checksums for the packet. Typically, the kernel will silently discard modified packets with invalid checksums."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "SECURITY"
-msgstr ""
-
-#. type: Plain text
-msgid "Processes require CAP_NET_ADMIN capabilty to access the kernel ip_queue module. Such processes can potentially access and modify any IP packets received, generated or forwarded by the kernel."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "TODO"
-msgstr ""
-
-#. type: Plain text
-msgid "Per-handle B<ipq_errno> values."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "BUGS"
-msgstr ""
-
-#. type: Plain text
-msgid "Probably."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "AUTHOR"
-msgstr ""
-
-#. type: Plain text
-msgid "James Morris E<lt>jmorris@intercode.com.auE<gt>"
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "COPYRIGHT"
-msgstr ""
-
-#. type: Plain text
-msgid "Copyright (c) 2000-2001 Netfilter Core Team."
-msgstr ""
-
-#. type: Plain text
-msgid "Distributed under the GNU General Public License."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "CREDITS"
-msgstr ""
-
-#. type: Plain text
-msgid "Joost Remijn implemented the B<ipq_read> timeout feature, which appeared in the 1.2.4 release of iptables."
-msgstr ""
-
-#. type: Plain text
-msgid "Fernando Anton added support for IPv6."
-msgstr ""
-
-#. type: SH
-#, no-wrap
-msgid "SEE ALSO"
-msgstr ""
-
-#. type: Plain text
-msgid "B<iptables>(8), B<ipq_create_handle>(3), B<ipq_destroy_handle>(3), B<ipq_errstr>(3), B<ipq_get_msgerr>(3), B<ipq_get_packet>(3), B<ipq_message_type>(3), B<ipq_perror>(3), B<ipq_read>(3), B<ipq_set_mode>(3), B<ipq_set_verdict>(3)."
-msgstr ""
-
-#. type: Plain text
-msgid "The Netfilter home page at http://netfilter.samba.org/ which has links to The Networking Concepts HOWTO, The Linux 2.4 Packet Filtering HOWTO, The Linux 2.4 NAT HOWTO, The Netfilter Hacking HOWTO, The Netfilter FAQ and many other useful resources."
-msgstr ""
+++ /dev/null
-# SOME DESCRIPTIVE TITLE
-# Copyright (C) YEAR Free Software Foundation, Inc.
-# This file is distributed under the same license as the PACKAGE package.
-# FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.
-#
-msgid ""
-msgstr ""
-"Project-Id-Version: PACKAGE VERSION\n"
-"POT-Creation-Date: 2014-05-07 04:08+0900\n"
-"PO-Revision-Date: 2014-05-07 04:12+0900\n"
-"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
-"Language-Team: LANGUAGE <LL@li.org>\n"
-"Language: \n"
-"MIME-Version: 1.0\n"
-"Content-Type: text/plain; charset=UTF-8\n"
-"Content-Transfer-Encoding: 8bit\n"
-
-#. type: TH
-#, no-wrap
-msgid "IPTABLES-APPLY"
-msgstr "IPTABLES-APPLY"
-
-#. type: TH
-#, no-wrap
-msgid "iptables 1.4.21"
-msgstr "iptables 1.4.21"
-
-#. type: SH
-#, no-wrap
-msgid "NAME"
-msgstr "名前"
-
-#. type: Plain text
-msgid "iptables-apply - a safer way to update iptables remotely"
-msgstr "iptables-apply - リモートからの iptables のより安全な更新方法"
-
-#. type: SH
-#, no-wrap
-msgid "SYNOPSIS"
-msgstr "書式"
-
-#. type: Plain text
-msgid "B<iptables-apply> [-B<hV>] [B<-t> I<timeout>] I<ruleset-file>"
-msgstr "B<iptables-apply> [-B<hV>] [B<-t> I<timeout>] I<ruleset-file>"
-
-#. type: SH
-#, no-wrap
-msgid "DESCRIPTION"
-msgstr "説明"
-
-#. type: Plain text
-msgid "iptables-apply will try to apply a new ruleset (as output by iptables-save/read by iptables-restore) to iptables, then prompt the user whether the changes are okay. If the new ruleset cut the existing connection, the user will not be able to answer affirmatively. In this case, the script rolls back to the previous ruleset after the timeout expired. The timeout can be set with B<-t>."
-msgstr "iptables-apply は、新しいルールセット (iptables-save の出力や iptables-restore の入力と同じフォーマット) の iptables への適用を試みてから、ユーザーにこの変更を適用してよいかを問い合わせる。新しいルールセットが既存の接続を切断する場合、ユーザーは許可の返事を行うことができない。この場合、このスクリプトはタイムアウト時間が経過した後で直前のルールにロールバックを行う。タイムアウトは B<-t> で設定できる。"
-
-#. type: Plain text
-msgid "When called as B<ip6tables-apply>, the script will use ip6tables-save/-restore instead."
-msgstr "B<ip6tables-apply> として呼び出された場合には、ip6tables-save/-restore が代わりに利用される。"
-
-#. type: SH
-#, no-wrap
-msgid "OPTIONS"
-msgstr "オプション"
-
-#. type: TP
-#, no-wrap
-msgid "B<-t> I<seconds>, B<--timeout> I<seconds>"
-msgstr "B<-t> I<seconds>, B<--timeout> I<seconds>"
-
-#. type: Plain text
-msgid "Sets the timeout after which the script will roll back to the previous ruleset."
-msgstr "タイムアウト時間を設定する。この時間が経過した後、このスクリプトは以前のルールセットにロールバックを行う。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-h>, B<--help>"
-msgstr "B<-h>, B<--help>"
-
-#. type: Plain text
-msgid "Display usage information."
-msgstr "使用方法を表示する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-V>, B<--version>"
-msgstr "B<-V>, B<--version>"
-
-#. type: Plain text
-msgid "Display version information."
-msgstr "バージョン情報を表示する。"
-
-#. type: SH
-#, no-wrap
-msgid "SEE ALSO"
-msgstr "関連項目"
-
-#. type: Plain text
-msgid "B<iptables-restore>(8), B<iptables-save>(8), B<iptables>(8)."
-msgstr "B<iptables-restore>(8), B<iptables-save>(8), B<iptables>(8)."
-
-#. type: SH
-#, no-wrap
-msgid "LEGALESE"
-msgstr "著作権"
-
-#. type: Plain text
-msgid "iptables-apply is copyright by Martin F. Krafft."
-msgstr "iptables-apply の著作権は Martin F. Krafft が持っている。"
-
-#. type: Plain text
-msgid "This manual page was written by Martin F. Krafft E<lt>madduck@madduck.netE<gt>"
-msgstr "このマニュアルページは Martin F. Krafft E<lt>madduck@madduck.netE<gt> が書いた。"
-
-#. type: Plain text
-msgid "Permission is granted to copy, distribute and/or modify this document under the terms of the Artistic License 2.0."
-msgstr "この文書のコピー、配布、修正は Artistic License 2.0 の下で行うことができる。"
+++ /dev/null
-# SOME DESCRIPTIVE TITLE
-# Copyright (C) YEAR Free Software Foundation, Inc.
-# This file is distributed under the same license as the PACKAGE package.
-# FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.
-#
-msgid ""
-msgstr ""
-"Project-Id-Version: PACKAGE VERSION\n"
-"POT-Creation-Date: 2014-05-07 04:08+0900\n"
-"PO-Revision-Date: 2014-05-09 02:44+0900\n"
-"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
-"Language-Team: LANGUAGE <LL@li.org>\n"
-"Language: \n"
-"MIME-Version: 1.0\n"
-"Content-Type: text/plain; charset=UTF-8\n"
-"Content-Transfer-Encoding: 8bit\n"
-
-#. type: TH
-#, no-wrap
-msgid "iptables-extensions"
-msgstr "iptables-extensions"
-
-#. type: TH
-#, no-wrap
-msgid "iptables 1.4.21"
-msgstr "iptables 1.4.21"
-
-#. type: SH
-#, no-wrap
-msgid "NAME"
-msgstr "名前"
-
-#. type: Plain text
-msgid "iptables-extensions \\(em list of extensions in the standard iptables distribution"
-msgstr "iptables-extensions \\(em 標準の iptables に含まれる拡張モジュールのリスト"
-
-#. type: SH
-#, no-wrap
-msgid "SYNOPSIS"
-msgstr "書式"
-
-#. type: Plain text
-msgid "B<ip6tables> [B<-m> I<name> [I<module-options>...]] [B<-j> I<target-name> [I<target-options>...]"
-msgstr "B<ip6tables> [B<-m> I<name> [I<module-options>...]] [B<-j> I<target-name> [I<target-options>...]"
-
-#. type: Plain text
-msgid "B<iptables> [B<-m> I<name> [I<module-options>...]] [B<-j> I<target-name> [I<target-options>...]"
-msgstr "B<iptables> [B<-m> I<name> [I<module-options>...]] [B<-j> I<target-name> [I<target-options>...]"
-
-#. type: SH
-#, no-wrap
-msgid "MATCH EXTENSIONS"
-msgstr "マッチングの拡張"
-
-#. type: Plain text
-msgid "iptables can use extended packet matching modules with the B<-m> or B<--match> options, followed by the matching module name; after these, various extra command line options become available, depending on the specific module. You can specify multiple extended match modules in one line, and you can use the B<-h> or B<--help> options after the module has been specified to receive help specific to that module. The extended match modules are evaluated in the order they are specified in the rule."
-msgstr "iptables は拡張されたパケットマッチングモジュールを使うことができる。 使用するモジュールは B<-m> か B<--match> の後ろにモジュール名に続けて指定する。 モジュール名の後ろには、 モジュールに応じて他のいろいろなコマンドラインオプションを指定することができる。 複数の拡張マッチングモジュールを一行で指定することができる。 モジュールの指定より後ろで B<-h> か B<--help> を指定すると、 モジュール固有のヘルプが表示される。 拡張マッチングモジュールはルールで指定された順序で評価される。"
-
-#. @MATCH@
-#. type: Plain text
-msgid "If the B<-p> or B<--protocol> was specified and if and only if an unknown option is encountered, iptables will try load a match module of the same name as the protocol, to try making the option available."
-msgstr "B<-p> か B<--protocol> が指定され、 かつ未知のオプションだけが指定されていた場合にのみ、 iptables はプロトコルと同じ名前のマッチモジュールをロードし、 そのオプションを使えるようにしようとする。"
-
-#. type: SS
-#, no-wrap
-msgid "addrtype"
-msgstr "addrtype"
-
-#. type: Plain text
-msgid "This module matches packets based on their B<address type.> Address types are used within the kernel networking stack and categorize addresses into various groups. The exact definition of that group depends on the specific layer three protocol."
-msgstr "このモジュールは、 アドレス種別 (B<address type>) に基づいてパケットマッチングを行う。 アドレス種別はカーネルのネットワークスタック内で使われており、 アドレスはいくつかグループに分類される。 厳密なグループの定義は個々のレイヤ 3 プロトコルに依存する。"
-
-#. type: Plain text
-msgid "The following address types are possible:"
-msgstr "以下のアドレスタイプが利用できる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<UNSPEC>"
-msgstr "B<UNSPEC>"
-
-#. type: Plain text
-msgid "an unspecified address (i.e. 0.0.0.0)"
-msgstr "アドレスを指定しない (つまりアドレス 0.0.0.0)"
-
-#. type: TP
-#, no-wrap
-msgid "B<UNICAST>"
-msgstr "B<UNICAST>"
-
-#. type: Plain text
-msgid "an unicast address"
-msgstr "ユニキャストアドレス"
-
-#. type: TP
-#, no-wrap
-msgid "B<LOCAL>"
-msgstr "B<LOCAL>"
-
-#. type: Plain text
-msgid "a local address"
-msgstr "ローカルアドレス"
-
-#. type: TP
-#, no-wrap
-msgid "B<BROADCAST>"
-msgstr "B<BROADCAST>"
-
-#. type: Plain text
-msgid "a broadcast address"
-msgstr "ブロードキャストアドレス"
-
-#. type: TP
-#, no-wrap
-msgid "B<ANYCAST>"
-msgstr "B<ANYCAST>"
-
-#. type: Plain text
-msgid "an anycast packet"
-msgstr "エニーキャストアドレス"
-
-#. type: TP
-#, no-wrap
-msgid "B<MULTICAST>"
-msgstr "B<MULTICAST>"
-
-#. type: Plain text
-msgid "a multicast address"
-msgstr "マルチキャストアドレス"
-
-#. type: TP
-#, no-wrap
-msgid "B<BLACKHOLE>"
-msgstr "B<BLACKHOLE>"
-
-#. type: Plain text
-msgid "a blackhole address"
-msgstr "ブラックホールアドレス"
-
-#. type: TP
-#, no-wrap
-msgid "B<UNREACHABLE>"
-msgstr "B<UNREACHABLE>"
-
-#. type: Plain text
-msgid "an unreachable address"
-msgstr "到達できないアドレス"
-
-#. type: TP
-#, no-wrap
-msgid "B<PROHIBIT>"
-msgstr "B<PROHIBIT>"
-
-#. type: Plain text
-msgid "a prohibited address"
-msgstr "禁止されたアドレス"
-
-#. type: TP
-#, no-wrap
-msgid "B<THROW>"
-msgstr "B<THROW>"
-
-#. type: Plain text
-msgid "FIXME"
-msgstr "要修正"
-
-#. type: TP
-#, no-wrap
-msgid "B<NAT>"
-msgstr "B<NAT>"
-
-#. type: TP
-#, no-wrap
-msgid "B<XRESOLVE>"
-msgstr "B<XRESOLVE>"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--src-type> I<type>"
-msgstr "[B<!>] B<--src-type> I<type>"
-
-#. type: Plain text
-msgid "Matches if the source address is of given type"
-msgstr "送信元アドレスが指定された種類の場合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--dst-type> I<type>"
-msgstr "[B<!>] B<--dst-type> I<type>"
-
-#. type: Plain text
-msgid "Matches if the destination address is of given type"
-msgstr "宛先アドレスが指定された種類の場合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--limit-iface-in>"
-msgstr "B<--limit-iface-in>"
-
-#. type: Plain text
-msgid "The address type checking can be limited to the interface the packet is coming in. This option is only valid in the B<PREROUTING>, B<INPUT> and B<FORWARD> chains. It cannot be specified with the B<--limit-iface-out> option."
-msgstr "アドレス種別のチェックをそのパケットが受信されたインターフェースに限定する。 このオプションは B<PREROUTING>, B<INPUT>, B<FORWARD> チェインでのみ利用できる。 B<--limit-iface-out> オプションと同時に指定することはできない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--limit-iface-out>"
-msgstr "B<--limit-iface-out>"
-
-#. type: Plain text
-msgid "The address type checking can be limited to the interface the packet is going out. This option is only valid in the B<POSTROUTING>, B<OUTPUT> and B<FORWARD> chains. It cannot be specified with the B<--limit-iface-in> option."
-msgstr "アドレス種別のチェックをそのパケットが出力されるインターフェースに限定する。 このオプションは B<POSTROUTING>, B<OUTPUT>, B<FORWARD> チェインでのみ利用できる。 B<--limit-iface-in> オプションと同時に指定することはできない。"
-
-#. type: SS
-#, no-wrap
-msgid "ah (IPv6-specific)"
-msgstr "ah (IPv6 のみ)"
-
-#. type: Plain text
-msgid "This module matches the parameters in Authentication header of IPsec packets."
-msgstr "このモジュールは IPsec パケットの認証ヘッダーのパラメータにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ahspi> I<spi>[B<:>I<spi>]"
-msgstr "[B<!>] B<--ahspi> I<spi>[B<:>I<spi>]"
-
-#. type: Plain text
-msgid "Matches SPI."
-msgstr "SPI にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ahlen> I<length>"
-msgstr "[B<!>] B<--ahlen> I<length>"
-
-#. type: Plain text
-msgid "Total length of this header in octets."
-msgstr "このヘッダーの全体の長さ (8進数)。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--ahres>"
-msgstr "B<--ahres>"
-
-#. type: Plain text
-msgid "Matches if the reserved field is filled with zero."
-msgstr "予約フィールドが 0 で埋められている場合にマッチする。"
-
-#. type: SS
-#, no-wrap
-msgid "ah (IPv4-specific)"
-msgstr "ah (IPv4 の場合)"
-
-#. type: Plain text
-msgid "This module matches the SPIs in Authentication header of IPsec packets."
-msgstr "このモジュールは IPsec パケットの認証ヘッダー (AH) の SPI 値にマッチする。"
-
-#. type: SS
-#, no-wrap
-msgid "bpf"
-msgstr "bpf"
-
-#. type: Plain text
-msgid "Match using Linux Socket Filter. Expects a BPF program in decimal format. This is the format generated by the B<nfbpf_compile> utility."
-msgstr "Linux Socket Filter を使ってマッチを行う。 BPF プログラムを 10 進数形式で指定する。 これは B<nfbpf_compile> ユーティリティにより生成されるフォーマットである。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--bytecode> I<code>"
-msgstr "B<--bytecode> I<code>"
-
-#. type: Plain text
-msgid "Pass the BPF byte code format (described in the example below)."
-msgstr "BPF バイトコードフォーマットを渡す (フォーマットについては下記の例で説明)。"
-
-#. type: Plain text
-msgid "The code format is similar to the output of the tcpdump -ddd command: one line that stores the number of instructions, followed by one line for each instruction. Instruction lines follow the pattern 'u16 u8 u8 u32' in decimal notation. Fields encode the operation, jump offset if true, jump offset if false and generic multiuse field 'K'. Comments are not supported."
-msgstr "コードのフォーマットは tcpdump の -ddd コマンドの出力に似ている。 最初に命令数が入った行が 1 行あり、 1 行 1 命令がこれに続く。 命令行は 'u16 u8 u8 u32' のパターンで 10 進数で指定する。 各フィールドは、命令、 true 時のジャンプオフセット、 false 時のジャンプオフセット、 汎用で様々な用途に使用するフィールド 'K' である。 コメントはサポートされていない。"
-
-#. type: Plain text
-msgid "For example, to read only packets matching 'ip proto 6', insert the following, without the comments or trailing whitespace:"
-msgstr "例えば 'ip proto 6' にマッチするパケットのみを読み込むには、以下を挿入すればよい (コムと末尾のホワイトスペースは含めずに)。"
-
-#. type: Plain text
-msgid "4 # number of instructions"
-msgstr "4 # 命令数"
-
-#. type: Plain text
-msgid "48 0 0 9 # load byte ip-E<gt>proto"
-msgstr "48 0 0 9 # load byte ip-E<gt>proto"
-
-#. type: Plain text
-msgid "21 0 1 6 # jump equal IPPROTO_TCP"
-msgstr "21 0 1 6 # jump equal IPPROTO_TCP"
-
-#. type: Plain text
-msgid "6 0 0 1 # return pass (non-zero)"
-msgstr "6 0 0 1 # return pass (non-zero)"
-
-#. type: Plain text
-msgid "6 0 0 0 # return fail (zero)"
-msgstr "6 0 0 0 # return fail (zero)"
-
-#. type: Plain text
-msgid "You can pass this filter to the bpf match with the following command:"
-msgstr "このフィルターを bpf マッチに渡すには以下のコマンドのようにする。"
-
-#. type: Plain text
-msgid "iptables -A OUTPUT -m bpf --bytecode '4,48 0 0 9,21 0 1 6,6 0 0 1,6 0 0 0' -j ACCEPT"
-msgstr "iptables -A OUTPUT -m bpf --bytecode '4,48 0 0 9,21 0 1 6,6 0 0 1,6 0 0 0' -j ACCEPT"
-
-#. type: Plain text
-msgid "Or instead, you can invoke the nfbpf_compile utility."
-msgstr "代わりに、 nfbpf_compile ユーティリティを使う方法もある。"
-
-#. type: Plain text
-msgid "iptables -A OUTPUT -m bpf --bytecode \"`nfbpf_compile RAW 'ip proto 6'`\" -j ACCEPT"
-msgstr "iptables -A OUTPUT -m bpf --bytecode \"`nfbpf_compile RAW 'ip proto 6'`\" -j ACCEPT"
-
-#. type: Plain text
-msgid "You may want to learn more about BPF from FreeBSD's bpf(4) manpage."
-msgstr "BPF についてもっと詳しく知るには FreeBSD の bpf(4) manpage を見るといいだろう。"
-
-#. type: SS
-#, no-wrap
-msgid "cluster"
-msgstr "cluster"
-
-#. type: Plain text
-msgid "Allows you to deploy gateway and back-end load-sharing clusters without the need of load-balancers."
-msgstr "このモジュールを使うと、負荷分散装置なしで、ゲートウェイとバックエンドの負荷分散クラスターを配備できる。"
-
-#. type: Plain text
-msgid "This match requires that all the nodes see the same packets. Thus, the cluster match decides if this node has to handle a packet given the following options:"
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--cluster-total-nodes> I<num>"
-msgstr "B<--cluster-total-nodes> I<num>"
-
-#. type: Plain text
-msgid "Set number of total nodes in cluster."
-msgstr "クラスターの総ノード数を設定する。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--cluster-local-node> I<num>"
-msgstr "[B<!>] B<--cluster-local-node> I<num>"
-
-#. type: Plain text
-msgid "Set the local node number ID."
-msgstr "ローカルノードの数字の ID を設定する。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--cluster-local-nodemask> I<mask>"
-msgstr "[B<!>] B<--cluster-local-nodemask> I<mask>"
-
-#. type: Plain text
-msgid "Set the local node number ID mask. You can use this option instead of B<--cluster-local-node>."
-msgstr "ローカルノードの ID マスクを設定する。 このオプションは B<--cluster-local-node> の代わりに使うことができる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--cluster-hash-seed> I<value>"
-msgstr "B<--cluster-hash-seed> I<value>"
-
-#. type: Plain text
-msgid "Set seed value of the Jenkins hash."
-msgstr "Jenkins ハッシュのシード値を設定する。"
-
-#. type: TP
-#, no-wrap
-msgid "Example:"
-msgstr "例:"
-
-#. type: Plain text
-msgid "iptables -A PREROUTING -t mangle -i eth1 -m cluster --cluster-total-nodes 2 --cluster-local-node 1 --cluster-hash-seed 0xdeadbeef -j MARK --set-mark 0xffff"
-msgstr "iptables -A PREROUTING -t mangle -i eth1 -m cluster --cluster-total-nodes 2 --cluster-local-node 1 --cluster-hash-seed 0xdeadbeef -j MARK --set-mark 0xffff"
-
-#. type: Plain text
-msgid "iptables -A PREROUTING -t mangle -i eth2 -m cluster --cluster-total-nodes 2 --cluster-local-node 1 --cluster-hash-seed 0xdeadbeef -j MARK --set-mark 0xffff"
-msgstr "iptables -A PREROUTING -t mangle -i eth2 -m cluster --cluster-total-nodes 2 --cluster-local-node 1 --cluster-hash-seed 0xdeadbeef -j MARK --set-mark 0xffff"
-
-#. type: Plain text
-msgid "iptables -A PREROUTING -t mangle -i eth1 -m mark ! --mark 0xffff -j DROP"
-msgstr "iptables -A PREROUTING -t mangle -i eth1 -m mark ! --mark 0xffff -j DROP"
-
-#. type: Plain text
-msgid "iptables -A PREROUTING -t mangle -i eth2 -m mark ! --mark 0xffff -j DROP"
-msgstr "iptables -A PREROUTING -t mangle -i eth2 -m mark ! --mark 0xffff -j DROP"
-
-#. type: Plain text
-msgid "And the following commands to make all nodes see the same packets:"
-msgstr "以下のコマンドで、 すべてのノードに同じパケットを届けることができる。"
-
-#. type: Plain text
-msgid "ip maddr add 01:00:5e:00:01:01 dev eth1"
-msgstr "ip maddr add 01:00:5e:00:01:01 dev eth1"
-
-#. type: Plain text
-msgid "ip maddr add 01:00:5e:00:01:02 dev eth2"
-msgstr "ip maddr add 01:00:5e:00:01:02 dev eth2"
-
-#. type: Plain text
-msgid "arptables -A OUTPUT -o eth1 --h-length 6 -j mangle --mangle-mac-s 01:00:5e:00:01:01"
-msgstr "arptables -A OUTPUT -o eth1 --h-length 6 -j mangle --mangle-mac-s 01:00:5e:00:01:01"
-
-#. type: Plain text
-msgid "arptables -A INPUT -i eth1 --h-length 6 --destination-mac 01:00:5e:00:01:01 -j mangle --mangle-mac-d 00:zz:yy:xx:5a:27"
-msgstr "arptables -A INPUT -i eth1 --h-length 6 --destination-mac 01:00:5e:00:01:01 -j mangle --mangle-mac-d 00:zz:yy:xx:5a:27"
-
-#. type: Plain text
-msgid "arptables -A OUTPUT -o eth2 --h-length 6 -j mangle --mangle-mac-s 01:00:5e:00:01:02"
-msgstr "arptables -A OUTPUT -o eth2 --h-length 6 -j mangle --mangle-mac-s 01:00:5e:00:01:02"
-
-#. type: Plain text
-msgid "arptables -A INPUT -i eth2 --h-length 6 --destination-mac 01:00:5e:00:01:02 -j mangle --mangle-mac-d 00:zz:yy:xx:5a:27"
-msgstr "arptables -A INPUT -i eth2 --h-length 6 --destination-mac 01:00:5e:00:01:02 -j mangle --mangle-mac-d 00:zz:yy:xx:5a:27"
-
-#. type: Plain text
-msgid "B<NOTE>: the arptables commands above use mainstream syntax. If you are using arptables-jf included in some RedHat, CentOS and Fedora versions, you will hit syntax errors. Therefore, you'll have to adapt these to the arptables-jf syntax to get them working."
-msgstr ""
-
-#. type: Plain text
-msgid "In the case of TCP connections, pickup facility has to be disabled to avoid marking TCP ACK packets coming in the reply direction as valid."
-msgstr "TCP 接続の場合には、応答方向で受信した TCP ACK パケットが有効とマークされないようにするため、ピックアップ (pickup) 機能を無効する必要がある。"
-
-#. type: Plain text
-msgid "echo 0 E<gt> /proc/sys/net/netfilter/nf_conntrack_tcp_loose"
-msgstr "echo 0 E<gt> /proc/sys/net/netfilter/nf_conntrack_tcp_loose"
-
-#. type: SS
-#, no-wrap
-msgid "comment"
-msgstr "comment"
-
-#. type: Plain text
-msgid "Allows you to add comments (up to 256 characters) to any rule."
-msgstr "ルールにコメント (最大 256 文字) を付けることができる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--comment> I<comment>"
-msgstr "B<--comment> I<comment>"
-
-#. type: Plain text
-msgid "iptables -A INPUT -i eth1 -m comment --comment \"my local LAN\""
-msgstr "iptables -A INPUT -i eth1 -m comment --comment \"my local LAN\""
-
-#. type: SS
-#, no-wrap
-msgid "connbytes"
-msgstr "connbytes"
-
-#. type: Plain text
-msgid "Match by how many bytes or packets a connection (or one of the two flows constituting the connection) has transferred so far, or by average bytes per packet."
-msgstr "一つのコネクション (もしくはそのコネクションを構成する 2 つのフローの一方) でそれまでに転送されたバイト数やパケット数、 もしくはパケットあたりの平均バイト数にマッチする。"
-
-#. type: Plain text
-msgid "The counters are 64-bit and are thus not expected to overflow ;)"
-msgstr "カウンターは 64 ビットであり、したがってオーバーフローすることは考えられていない ;)"
-
-#. type: Plain text
-msgid "The primary use is to detect long-lived downloads and mark them to be scheduled using a lower priority band in traffic control."
-msgstr "主な利用方法は、長時間存在するダウンロードを検出し、 これらに印を付けることで、 トラフィック制御において艇優先帯域を使うようにスケジューリングできるようにすることである。"
-
-#. type: Plain text
-msgid "The transferred bytes per connection can also be viewed through `conntrack -L` and accessed via ctnetlink."
-msgstr "コネクションあたりの転送バイト数は、 `conntrack -L` 経由で見ることができ、 ctnetlink 経由でもアクセスすることもできる。"
-
-#. type: Plain text
-msgid "NOTE that for connections which have no accounting information, the match will always return false. The \"net.netfilter.nf_conntrack_acct\" sysctl flag controls whether B<new> connections will be byte/packet counted. Existing connection flows will not be gaining/losing a/the accounting structure when be sysctl flag is flipped."
-msgstr ""
-"アカウント情報を持っていないコネクションでは、 このマッチングは常に false を返す点に注意すること。 \n"
-"\"net.netfilter.nf_conntrack_acct\" sysctl フラグで、 B<新規>コネクションでバイト数/パケット数の計測が行われるかが制御できる。 sysctl フラグが変更されても、 既存のコネクションのアカウント情報は影響を受けない。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--connbytes> I<from>[B<:>I<to>]"
-msgstr "[B<!>] B<--connbytes> I<from>[B<:>I<to>]"
-
-#. type: Plain text
-msgid "match packets from a connection whose packets/bytes/average packet size is more than FROM and less than TO bytes/packets. if TO is omitted only FROM check is done. \"!\" is used to match packets not falling in the range."
-msgstr "パケット数/バイト数/平均パケットサイズが FROM バイト/パケットより大きく TO バイト/パケットよりも小さいコネクションのパケットにマッチする。 TO が省略した場合は FROM のみがチェックされる。 \"!\" を使うと、 この範囲にないパケットにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--connbytes-dir> {B<original>|B<reply>|B<both>}"
-msgstr "B<--connbytes-dir> {B<original>|B<reply>|B<both>}"
-
-#. type: Plain text
-msgid "which packets to consider"
-msgstr "どのパケットを計測するかを指定する"
-
-#. type: TP
-#, no-wrap
-msgid "B<--connbytes-mode> {B<packets>|B<bytes>|B<avgpkt>}"
-msgstr "B<--connbytes-mode> {B<packets>|B<bytes>|B<avgpkt>}"
-
-#. type: Plain text
-msgid "whether to check the amount of packets, number of bytes transferred or the average size (in bytes) of all packets received so far. Note that when \"both\" is used together with \"avgpkt\", and data is going (mainly) only in one direction (for example HTTP), the average packet size will be about half of the actual data packets."
-msgstr "パケット総数、転送バイト数、これまでに受信した全パケットの平均サイズ (バイト単位) のどれをチェックするかを指定する。 \"both\" と \"avgpkt\" を組み合わせて使った場合で、 (HTTP のように) データが (主に) 片方向でのみ転送される場合、 平均パケットサイズは実際のデータパケットの約半分になる点に注意すること。"
-
-#. type: Plain text
-msgid "iptables .. -m connbytes --connbytes 10000:100000 --connbytes-dir both --connbytes-mode bytes ..."
-msgstr "iptables .. -m connbytes --connbytes 10000:100000 --connbytes-dir both --connbytes-mode bytes ..."
-
-#. type: SS
-#, no-wrap
-msgid "connlimit"
-msgstr "connlimit"
-
-#. type: Plain text
-msgid "Allows you to restrict the number of parallel connections to a server per client IP address (or client address block)."
-msgstr "一つのサーバーに対する、 一つのクライアント IP アドレス (またはクライアントアドレスブロック) からの同時接続数を制限することができる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--connlimit-upto> I<n>"
-msgstr "B<--connlimit-upto> I<n>"
-
-#. type: Plain text
-msgid "Match if the number of existing connections is below or equal I<n>."
-msgstr "既存の接続数が I<n> 以下の場合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--connlimit-above> I<n>"
-msgstr "B<--connlimit-above> I<n>"
-
-#. type: Plain text
-msgid "Match if the number of existing connections is above I<n>."
-msgstr "既存の接続数が I<n> より多い場合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--connlimit-mask> I<prefix_length>"
-msgstr "B<--connlimit-mask> I<prefix_length>"
-
-#. type: Plain text
-msgid "Group hosts using the prefix length. For IPv4, this must be a number between (including) 0 and 32. For IPv6, between 0 and 128. If not specified, the maximum prefix length for the applicable protocol is used."
-msgstr "プレフィックス長を使ってホストのグルーピングを行う。 IPv4 の場合には、プレフィックス長は 0 以上 32 以下の値でなければならない。 IPv6 の場合には 0 以上 128 以下でなければならない。 指定しなかった場合、そのプロトコルで使われる最も長いプレフィックス長が使用される。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--connlimit-saddr>"
-msgstr "B<--connlimit-saddr>"
-
-#. type: Plain text
-msgid "Apply the limit onto the source group. This is the default if --connlimit-daddr is not specified."
-msgstr "送信元グループに対して制限を適用する。 これが --connlimit-daddr が指定されなかった場合のデフォルトである。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--connlimit-daddr>"
-msgstr "B<--connlimit-daddr>"
-
-#. type: Plain text
-msgid "Apply the limit onto the destination group."
-msgstr "宛先グループに対して制限を適用する。"
-
-#. type: TP
-#, no-wrap
-msgid "Examples:"
-msgstr "例:"
-
-#. type: TP
-#, no-wrap
-msgid "# allow 2 telnet connections per client host"
-msgstr "# クライアントホストあたり 2 つの telnet 接続を許可する"
-
-#. type: Plain text
-msgid "iptables -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT"
-msgstr "iptables -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT"
-
-#. type: TP
-#, no-wrap
-msgid "# you can also match the other way around:"
-msgstr "# 同じことのに行う別のマッチ方法"
-
-#. type: Plain text
-msgid "iptables -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-upto 2 -j ACCEPT"
-msgstr "iptables -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-upto 2 -j ACCEPT"
-
-#. type: TP
-#, no-wrap
-msgid "# limit the number of parallel HTTP requests to 16 per class C sized source network (24 bit netmask)"
-msgstr "# クラス C の送信元ネットワーク (ネットマスクが 24 ビット) あたりの同時 HTTP リクエスト数を 16 までに制限する"
-
-#. type: Plain text
-msgid "iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 --connlimit-mask 24 -j REJECT"
-msgstr "iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 --connlimit-mask 24 -j REJECT"
-
-#. type: TP
-#, no-wrap
-msgid "# limit the number of parallel HTTP requests to 16 for the link local network"
-msgstr "# リンクローカルネットワークからの同時 HTTP リクエスト数を 16 までに制限する"
-
-#. type: Plain text
-msgid "(ipv6) ip6tables -p tcp --syn --dport 80 -s fe80::/64 -m connlimit --connlimit-above 16 --connlimit-mask 64 -j REJECT"
-msgstr "(ipv6) ip6tables -p tcp --syn --dport 80 -s fe80::/64 -m connlimit --connlimit-above 16 --connlimit-mask 64 -j REJECT"
-
-#. type: TP
-#, no-wrap
-msgid "# Limit the number of connections to a particular host:"
-msgstr "# 特定のホスト宛のコネクション数を制限する"
-
-#. type: Plain text
-msgid "ip6tables -p tcp --syn --dport 49152:65535 -d 2001:db8::1 -m connlimit --connlimit-above 100 -j REJECT"
-msgstr "ip6tables -p tcp --syn --dport 49152:65535 -d 2001:db8::1 -m connlimit --connlimit-above 100 -j REJECT"
-
-#. type: SS
-#, no-wrap
-msgid "connmark"
-msgstr "connmark"
-
-#. type: Plain text
-msgid "This module matches the netfilter mark field associated with a connection (which can be set using the B<CONNMARK> target below)."
-msgstr "このモジュールはコネクションに関連づけられた netfilter の mark フィールドにマッチする (このフィールドは、 以下の B<CONNMARK> ターゲットで設定される)。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--mark> I<value>[B</>I<mask>]"
-msgstr "[B<!>] B<--mark> I<value>[B</>I<mask>]"
-
-#. type: Plain text
-msgid "Matches packets in connections with the given mark value (if a mask is specified, this is logically ANDed with the mark before the comparison)."
-msgstr "指定された mark 値を持つコネクションのパケットにマッチする (mask が指定されると、 比較の前に mask との論理積 (AND) がとられる)。"
-
-#. type: SS
-#, no-wrap
-msgid "conntrack"
-msgstr "conntrack"
-
-#. type: Plain text
-msgid "This module, when combined with connection tracking, allows access to the connection tracking state for this packet/connection."
-msgstr "コネクション追跡 (connection tracking) と組み合わせて使用した場合に、 このモジュールを使うと、 パケットやコネクションの追跡状態を知ることができる。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ctstate> I<statelist>"
-msgstr "[B<!>] B<--ctstate> I<statelist>"
-
-#. type: Plain text
-msgid "I<statelist> is a comma separated list of the connection states to match. Possible states are listed below."
-msgstr "I<statelist> はマッチするコネクション状態 (connection state) のリストで、 コンマ区切りで指定する。 指定できる状態のリストは後述。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ctproto> I<l4proto>"
-msgstr "[B<!>] B<--ctproto> I<l4proto>"
-
-#. type: Plain text
-msgid "Layer-4 protocol to match (by number or name)"
-msgstr "指定されたレイヤ 4 のプロトコルにマッチする。 プロトコルは名前または数値で指定する。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ctorigsrc> I<address>[B</>I<mask>]"
-msgstr "[B<!>] B<--ctorigsrc> I<address>[B</>I<mask>]"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ctorigdst> I<address>[B</>I<mask>]"
-msgstr "[B<!>] B<--ctorigdst> I<address>[B</>I<mask>]"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ctreplsrc> I<address>[B</>I<mask>]"
-msgstr "[B<!>] B<--ctreplsrc> I<address>[B</>I<mask>]"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ctrepldst> I<address>[B</>I<mask>]"
-msgstr "[B<!>] B<--ctrepldst> I<address>[B</>I<mask>]"
-
-#. type: Plain text
-msgid "Match against original/reply source/destination address"
-msgstr "順方向/反対方向のコネクションの送信元/宛先アドレスにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ctorigsrcport> I<port>[B<:>I<port>]"
-msgstr "[B<!>] B<--ctorigsrcport> I<port>[B<:>I<port>]"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ctorigdstport> I<port>[B<:>I<port>]"
-msgstr "[B<!>] B<--ctorigdstport> I<port>[B<:>I<port>]"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ctreplsrcport> I<port>[B<:>I<port>]"
-msgstr "[B<!>] B<--ctreplsrcport> I<port>[B<:>I<port>]"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ctrepldstport> I<port>[B<:>I<port>]"
-msgstr "[B<!>] B<--ctrepldstport> I<port>[B<:>I<port>]"
-
-#. type: Plain text
-msgid "Match against original/reply source/destination port (TCP/UDP/etc.) or GRE key. Matching against port ranges is only supported in kernel versions above 2.6.38."
-msgstr "順方向/反対方向のコネクションの (TCP/UDPなどの) 送信元/宛先ポートアドレス、 もしくは GRE キーにマッチする。 ポートの範囲指定はカーネル 2.6.38 以降でのみサポートされている。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ctstatus> I<statelist>"
-msgstr "[B<!>] B<--ctstatus> I<statelist>"
-
-#. type: Plain text
-msgid "I<statuslist> is a comma separated list of the connection statuses to match. Possible statuses are listed below."
-msgstr "I<statuslist> はマッチするコネクション状況 (connection status) のリストで、 コンマ区切りで指定する。 指定できる状況のリストは後述。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ctexpire> I<time>[B<:>I<time>]"
-msgstr "[B<!>] B<--ctexpire> I<time>[B<:>I<time>]"
-
-#. type: Plain text
-msgid "Match remaining lifetime in seconds against given value or range of values (inclusive)"
-msgstr "有効期間の残り秒数、 またはその範囲(両端を含む)にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--ctdir> {B<ORIGINAL>|B<REPLY>}"
-msgstr "B<--ctdir> {B<ORIGINAL>|B<REPLY>}"
-
-#. type: Plain text
-msgid "Match packets that are flowing in the specified direction. If this flag is not specified at all, matches packets in both directions."
-msgstr "指定した方向に流れるパケットにマッチする。 このフラグが全く指定されなかった場合、 両方向のパケットがマッチする。"
-
-#. type: Plain text
-msgid "States for B<--ctstate>:"
-msgstr "B<--ctstate> に指定できる状態は以下の通り。"
-
-#. type: TP
-#, no-wrap
-msgid "B<INVALID>"
-msgstr "B<INVALID>"
-
-#. type: Plain text
-msgid "The packet is associated with no known connection."
-msgstr "そのパケットはどの既知のコネクションとも関連付けられていない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<NEW>"
-msgstr "B<NEW>"
-
-#. type: Plain text
-msgid "The packet has started a new connection or otherwise associated with a connection which has not seen packets in both directions."
-msgstr "そのパケットが新しいコネクションを開始しようとしている。 もしくは、 両方の方向でパケットが観測されていないコネクションに関連付けられる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<ESTABLISHED>"
-msgstr "B<ESTABLISHED>"
-
-#. type: Plain text
-msgid "The packet is associated with a connection which has seen packets in both directions."
-msgstr "そのパケットが、 両方向のパケットが観測されたコネクションに関連付けられる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<RELATED>"
-msgstr "B<RELATED>"
-
-#. type: Plain text
-msgid "The packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer or an ICMP error."
-msgstr "そのパケットは、新しいコネクションを開始しようとしているが、 既存のコネクションと関連付けられる。 FTP データ転送や ICMP エラーなどが該当する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<UNTRACKED>"
-msgstr "B<UNTRACKED>"
-
-#. type: Plain text
-msgid "The packet is not tracked at all, which happens if you explicitly untrack it by using -j CT --notrack in the raw table."
-msgstr "そのパケットは全く追跡されていない。 この状態は、 raw テーブルで -j CT --notrack を使って明示的にそのパケットを追跡しないようにしている場合に起こる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<SNAT>"
-msgstr "B<SNAT>"
-
-#. type: Plain text
-msgid "A virtual state, matching if the original source address differs from the reply destination."
-msgstr "元の送信元アドレスが応答の宛先アドレスと異なる場合にマッチする仮想的な状態。"
-
-#. type: TP
-#, no-wrap
-msgid "B<DNAT>"
-msgstr "B<DNAT>"
-
-#. type: Plain text
-msgid "A virtual state, matching if the original destination differs from the reply source."
-msgstr "元の宛先アドレスが応答の送信元アドレスと異なる場合にマッチする仮想的な状態。"
-
-#. type: Plain text
-msgid "Statuses for B<--ctstatus>:"
-msgstr "B<--ctstatus> に指定できる値は以下の通り。"
-
-#. type: TP
-#, no-wrap
-msgid "B<NONE>"
-msgstr "B<NONE>"
-
-#. type: Plain text
-msgid "None of the below."
-msgstr "以下のいずれでもない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<EXPECTED>"
-msgstr "B<EXPECTED>"
-
-#. type: Plain text
-msgid "This is an expected connection (i.e. a conntrack helper set it up)."
-msgstr "期待通りのコネクションである (つまり conntrack のヘルパーがコネクションをセットアップした)。"
-
-#. type: TP
-#, no-wrap
-msgid "B<SEEN_REPLY>"
-msgstr "B<SEEN_REPLY>"
-
-#. type: Plain text
-msgid "Conntrack has seen packets in both directions."
-msgstr "conntrack が両方の方向でパケットを観測済である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<ASSURED>"
-msgstr "B<ASSURED>"
-
-#. type: Plain text
-msgid "Conntrack entry should never be early-expired."
-msgstr "conntrack エントリが early-expired されることはない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<CONFIRMED>"
-msgstr "B<CONFIRMED>"
-
-#. type: Plain text
-msgid "Connection is confirmed: originating packet has left box."
-msgstr ""
-
-#. type: SS
-#, no-wrap
-msgid "cpu"
-msgstr "cpu"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--cpu> I<number>"
-msgstr "[B<!>] B<--cpu> I<number>"
-
-#. type: Plain text
-msgid "Match cpu handling this packet. cpus are numbered from 0 to NR_CPUS-1 Can be used in combination with RPS (Remote Packet Steering) or multiqueue NICs to spread network traffic on different queues."
-msgstr "このパケットを処理する CPU にマッチする。 CPU には 0 から NR_CPUS-1 の番号が振られる。 ネットワークトラフィックを複数のキューに分散させるために RPS (Remote Packet Steering) やマルチキュー NIC と組み合わせて使用できる。"
-
-#. type: Plain text
-msgid "iptables -t nat -A PREROUTING -p tcp --dport 80 -m cpu --cpu 0 -j REDIRECT --to-port 8080"
-msgstr "iptables -t nat -A PREROUTING -p tcp --dport 80 -m cpu --cpu 0 -j REDIRECT --to-port 8080"
-
-#. type: Plain text
-msgid "iptables -t nat -A PREROUTING -p tcp --dport 80 -m cpu --cpu 1 -j REDIRECT --to-port 8081"
-msgstr "iptables -t nat -A PREROUTING -p tcp --dport 80 -m cpu --cpu 1 -j REDIRECT --to-port 8081"
-
-#. type: Plain text
-msgid "Available since Linux 2.6.36."
-msgstr "Linux 2.6.36 以降で利用可能。"
-
-#. type: SS
-#, no-wrap
-msgid "dccp"
-msgstr "dccp"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--source-port>,B<--sport> I<port>[B<:>I<port>]"
-msgstr "[B<!>] B<--source-port>,B<--sport> I<port>[B<:>I<port>]"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--destination-port>,B<--dport> I<port>[B<:>I<port>]"
-msgstr "[B<!>] B<--destination-port>,B<--dport> I<port>[B<:>I<port>]"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--dccp-types> I<mask>"
-msgstr "[B<!>] B<--dccp-types> I<mask>"
-
-#. type: Plain text
-msgid "Match when the DCCP packet type is one of 'mask'. 'mask' is a comma-separated list of packet types. Packet types are: B<REQUEST RESPONSE DATA ACK DATAACK CLOSEREQ CLOSE RESET SYNC SYNCACK INVALID>."
-msgstr "DCCP パケットタイプが I<mask> のいずれかであればマッチする。 I<mask> はカンマ区切りのパケットタイプのリストである。 指定できるパケットタイプは B<REQUEST RESPONSE DATA ACK DATAACK CLOSEREQ CLOSE RESET SYNC SYNCACK INVALID> である。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--dccp-option> I<number>"
-msgstr "[B<!>] B<--dccp-option> I<number>"
-
-#. type: Plain text
-msgid "Match if DCCP option set."
-msgstr "DCCP オプションが設定されている場合にマッチする。"
-
-#. type: SS
-#, no-wrap
-msgid "devgroup"
-msgstr "devgroup"
-
-#. type: Plain text
-msgid "Match device group of a packets incoming/outgoing interface."
-msgstr "パケットの受信/送信インターフェースのデバイスグループにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--src-group> I<name>"
-msgstr "[B<!>] B<--src-group> I<name>"
-
-#. type: Plain text
-msgid "Match device group of incoming device"
-msgstr "受信デバイスのデバイスグループにマッチする"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--dst-group> I<name>"
-msgstr "[B<!>] B<--dst-group> I<name>"
-
-#. type: Plain text
-msgid "Match device group of outgoing device"
-msgstr "送信デバイスのデバイスグループにマッチする"
-
-#. type: SS
-#, no-wrap
-msgid "dscp"
-msgstr "dscp"
-
-#. type: Plain text
-msgid "This module matches the 6 bit DSCP field within the TOS field in the IP header. DSCP has superseded TOS within the IETF."
-msgstr "このモジュールは、 IP ヘッダーの TOS フィールド内にある、 6 bit の DSCP フィールドにマッチする。 IETF では DSCP が TOS に取って代わった。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--dscp> I<value>"
-msgstr "[B<!>] B<--dscp> I<value>"
-
-#. type: Plain text
-msgid "Match against a numeric (decimal or hex) value [0-63]."
-msgstr "(10 進または 16 進の) 数値 [0-63] にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--dscp-class> I<class>"
-msgstr "[B<!>] B<--dscp-class> I<class>"
-
-#. type: Plain text
-msgid "Match the DiffServ class. This value may be any of the BE, EF, AFxx or CSx classes. It will then be converted into its according numeric value."
-msgstr "DiffServ クラスにマッチする。 値は BE, EF, AFxx, CSx クラスのいずれかである。 対応する数値に変換される。"
-
-#. type: SS
-#, no-wrap
-msgid "dst (IPv6-specific)"
-msgstr "dst (IPv6 のみ)"
-
-#. type: Plain text
-msgid "This module matches the parameters in Destination Options header"
-msgstr "このモジュールは宛先オプションヘッダーのパラメータにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--dst-len> I<length>"
-msgstr "[B<!>] B<--dst-len> I<length>"
-
-#. type: TP
-#, no-wrap
-msgid "B<--dst-opts> I<type>[B<:>I<length>][B<,>I<type>[B<:>I<length>]...]"
-msgstr "B<--dst-opts> I<type>[B<:>I<length>][B<,>I<type>[B<:>I<length>]...]"
-
-#. type: Plain text
-msgid "numeric type of option and the length of the option data in octets."
-msgstr "数値のオプションタイプとオプションデータのオクテット単位の長さ。"
-
-#. type: SS
-#, no-wrap
-msgid "ecn"
-msgstr "ecn"
-
-#. type: Plain text
-msgid "This allows you to match the ECN bits of the IPv4/IPv6 and TCP header. ECN is the Explicit Congestion Notification mechanism as specified in RFC3168"
-msgstr "IPv4/IPv6 と TCP ヘッダーの ECN ビットにマッチングを行う。 ECN とは RFC3168 で規定された Explicit Congestion Notification (明示的な輻輳通知) 機構のことである。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ecn-tcp-cwr>"
-msgstr "[B<!>] B<--ecn-tcp-cwr>"
-
-#. type: Plain text
-msgid "This matches if the TCP ECN CWR (Congestion Window Received) bit is set."
-msgstr "TCP ECN CWR (Congestion Window Received) ビットがセットされている場合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ecn-tcp-ece>"
-msgstr "[B<!>] B<--ecn-tcp-ece>"
-
-#. type: Plain text
-msgid "This matches if the TCP ECN ECE (ECN Echo) bit is set."
-msgstr "TCP ECN ECE (ECN Echo) ビットがセットされている場合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ecn-ip-ect> I<num>"
-msgstr "[B<!>] B<--ecn-ip-ect> I<num>"
-
-#. type: Plain text
-msgid "This matches a particular IPv4/IPv6 ECT (ECN-Capable Transport). You have to specify a number between `0' and `3'."
-msgstr "特定の IPv4/IPv6 ECT (ECN-Capable Transport) にマッチする。 `0' 以上 `3' 以下の値を指定しなければならない。"
-
-#. type: SS
-#, no-wrap
-msgid "esp"
-msgstr "esp"
-
-#. type: Plain text
-msgid "This module matches the SPIs in ESP header of IPsec packets."
-msgstr "このモジュールは IPsec パケットの ESP ヘッダーの SPI 値にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--espspi> I<spi>[B<:>I<spi>]"
-msgstr "[B<!>] B<--espspi> I<spi>[B<:>I<spi>]"
-
-#. type: SS
-#, no-wrap
-msgid "eui64 (IPv6-specific)"
-msgstr "eui64 (IPv6 のみ)"
-
-#. type: Plain text
-msgid "This module matches the EUI-64 part of a stateless autoconfigured IPv6 address. It compares the EUI-64 derived from the source MAC address in Ethernet frame with the lower 64 bits of the IPv6 source address. But \"Universal/Local\" bit is not compared. This module doesn't match other link layer frame, and is only valid in the B<PREROUTING>, B<INPUT> and B<FORWARD> chains."
-msgstr "このモジュールは stateless の自動で設定された IPv6 アドレスの EUI-64 の部分にマッチする。 Ethernet の送信元 MAC アドレスに基づく EUI-64 と IPv6 送信元アドレスの下位 64 ビットの比較が行われる。 ただし \"Universal/Local\" ビットは比較されない。 このモジュールは他のリンク層フレームにはマッチしない。 このモジュールは B<PREROUTING>, B<INPUT>, B<FORWARD> チェインでのみ有効である。"
-
-#. type: SS
-#, no-wrap
-msgid "frag (IPv6-specific)"
-msgstr "frag (IPv6 のみ)"
-
-#. type: Plain text
-msgid "This module matches the parameters in Fragment header."
-msgstr "このモジュールはフラグメントヘッダーのパラメータにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--fragid> I<id>[B<:>I<id>]"
-msgstr "[B<!>] B<--fragid> I<id>[B<:>I<id>]"
-
-#. type: Plain text
-msgid "Matches the given Identification or range of it."
-msgstr "指定された値もしくは範囲の ID にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--fraglen> I<length>"
-msgstr "[B<!>] B<--fraglen> I<length>"
-
-#. type: Plain text
-msgid "This option cannot be used with kernel version 2.6.10 or later. The length of Fragment header is static and this option doesn't make sense."
-msgstr "このオプションはバージョン 2.6.10 以降のカーネルでは使用できない。 フラグメントヘッダー長は変化しないので、このオプションは意味を持たない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--fragres>"
-msgstr "B<--fragres>"
-
-#. type: Plain text
-msgid "Matches if the reserved fields are filled with zero."
-msgstr "予約フィールドに 0 が入っている場合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--fragfirst>"
-msgstr "B<--fragfirst>"
-
-#. type: Plain text
-msgid "Matches on the first fragment."
-msgstr "最初のフラグメントにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--fragmore>"
-msgstr "B<--fragmore>"
-
-#. type: Plain text
-msgid "Matches if there are more fragments."
-msgstr "さらにフラグメントが続く場合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--fraglast>"
-msgstr "B<--fraglast>"
-
-#. type: Plain text
-msgid "Matches if this is the last fragment."
-msgstr "最後のフラグメントの場合にマッチする。"
-
-#. type: SS
-#, no-wrap
-msgid "hashlimit"
-msgstr "hashlimit"
-
-#. type: Plain text
-msgid "B<hashlimit> uses hash buckets to express a rate limiting match (like the B<limit> match) for a group of connections using a B<single> iptables rule. Grouping can be done per-hostgroup (source and/or destination address) and/or per-port. It gives you the ability to express \"I<N> packets per time quantum per group\" or \"I<N> bytes per seconds\" (see below for some examples)."
-msgstr ""
-
-#. type: Plain text
-msgid "A hash limit option (B<--hashlimit-upto>, B<--hashlimit-above>) and B<--hashlimit-name> are required."
-msgstr "hash limit オプション (B<--hashlimit-upto>, B<--hashlimit-above>) と B<--hashlimit-name> は必須である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hashlimit-upto> I<amount>[B</second>|B</minute>|B</hour>|B</day>]"
-msgstr "B<--hashlimit-upto> I<amount>[B</second>|B</minute>|B</hour>|B</day>]"
-
-#. type: Plain text
-msgid "Match if the rate is below or equal to I<amount>/quantum. It is specified either as a number, with an optional time quantum suffix (the default is 3/hour), or as I<amount>b/second (number of bytes per second)."
-msgstr "単位時間あたりの平均マッチ回数の最大値。 数値で指定され、 添字 `/second', `/minute', `/hour', `/day' を付けることもできる。 デフォルトは 3/hour である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hashlimit-above> I<amount>[B</second>|B</minute>|B</hour>|B</day>]"
-msgstr "B<--hashlimit-above> I<amount>[B</second>|B</minute>|B</hour>|B</day>]"
-
-#. type: Plain text
-msgid "Match if the rate is above I<amount>/quantum."
-msgstr "レートが指定された区間での I<amount> より大きい場合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hashlimit-burst> I<amount>"
-msgstr "B<--hashlimit-burst> I<amount>"
-
-#. type: Plain text
-msgid "Maximum initial number of packets to match: this number gets recharged by one every time the limit specified above is not reached, up to this number; the default is 5. When byte-based rate matching is requested, this option specifies the amount of bytes that can exceed the given rate. This option should be used with caution -- if the entry expires, the burst value is reset too."
-msgstr "パケットがマッチする回数の最大初期値: 上のオプションで指定した制限に達しなければ、 マッチするごとに、 この数値になるまで 1 個ずつ増やされる。 デフォルトは 5 である。 バイトでのレート照合が要求された場合、 このオプションは指定レートを超過できるバイト数を規定する。 このオプションを使用する際には注意が必要である -- エントリがタイムアウトで削除される際に、バースト値もリセットされる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hashlimit-mode> {B<srcip>|B<srcport>|B<dstip>|B<dstport>}B<,>..."
-msgstr "B<--hashlimit-mode> {B<srcip>|B<srcport>|B<dstip>|B<dstport>}B<,>..."
-
-#. type: Plain text
-msgid "A comma-separated list of objects to take into consideration. If no --hashlimit-mode option is given, hashlimit acts like limit, but at the expensive of doing the hash housekeeping."
-msgstr "対象とする要素のカンマ区切りのリスト。 --hashlimit-mode オプションが指定されなかった場合、 hashlimit は limit と同じ動作をするが、 ハッシュの管理を行うコストがかかる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hashlimit-srcmask> I<prefix>"
-msgstr "B<--hashlimit-srcmask> I<prefix>"
-
-#. type: Plain text
-msgid "When --hashlimit-mode srcip is used, all source addresses encountered will be grouped according to the given prefix length and the so-created subnet will be subject to hashlimit. I<prefix> must be between (inclusive) 0 and 32. Note that --hashlimit-srcmask 0 is basically doing the same thing as not specifying srcip for --hashlimit-mode, but is technically more expensive."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--hashlimit-dstmask> I<prefix>"
-msgstr "B<--hashlimit-dstmask> I<prefix>"
-
-#. type: Plain text
-msgid "Like --hashlimit-srcmask, but for destination addresses."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--hashlimit-name> I<foo>"
-msgstr "B<--hashlimit-name> I<foo>"
-
-#. type: Plain text
-msgid "The name for the /proc/net/ipt_hashlimit/foo entry."
-msgstr "/proc/net/ipt_hashlimit/foo エントリの名前。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hashlimit-htable-size> I<buckets>"
-msgstr "B<--hashlimit-htable-size> I<buckets>"
-
-#. type: Plain text
-msgid "The number of buckets of the hash table"
-msgstr "ハッシュテーブルのバケット数。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hashlimit-htable-max> I<entries>"
-msgstr "B<--hashlimit-htable-max> I<entries>"
-
-#. type: Plain text
-msgid "Maximum entries in the hash."
-msgstr "ハッシュの最大エントリ数。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hashlimit-htable-expire> I<msec>"
-msgstr "B<--hashlimit-htable-expire> I<msec>"
-
-#. type: Plain text
-msgid "After how many milliseconds do hash entries expire."
-msgstr "ハッシュエントリが何ミリ秒後に削除されるか。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hashlimit-htable-gcinterval> I<msec>"
-msgstr "B<--hashlimit-htable-gcinterval> I<msec>"
-
-#. type: Plain text
-msgid "How many milliseconds between garbage collection intervals."
-msgstr "ガベージコレクションの間隔 (ミリ秒)。"
-
-#. type: TP
-#, no-wrap
-msgid "matching on source host"
-msgstr "送信元ホストに対するマッチ"
-
-#. type: Plain text
-msgid "\"1000 packets per second for every host in 192.168.0.0/16\" =E<gt> -s 192.168.0.0/16 --hashlimit-mode srcip --hashlimit-upto 1000/sec"
-msgstr "\"192.168.0.0/16 の各ホストに対して 1000 パケット/秒\" =E<gt> -s 192.168.0.0/16 --hashlimit-mode srcip --hashlimit-upto 1000/sec"
-
-#. type: TP
-#, no-wrap
-msgid "matching on source port"
-msgstr "送信元ポートに対するマッチ"
-
-#. type: Plain text
-msgid "\"100 packets per second for every service of 192.168.1.1\" =E<gt> -s 192.168.1.1 --hashlimit-mode srcport --hashlimit-upto 100/sec"
-msgstr "\"192.168.1.1 の各サービスに対して 100 パケット/秒\" =E<gt> -s 192.168.1.1 --hashlimit-mode srcport --hashlimit-upto 100/sec"
-
-#. type: TP
-#, no-wrap
-msgid "matching on subnet"
-msgstr "サブネットに対するマッチ"
-
-#. type: Plain text
-msgid "\"10000 packets per minute for every /28 subnet (groups of 8 addresses) in 10.0.0.0/8\" =E<gt> -s 10.0.0.0/8 --hashlimit-mask 28 --hashlimit-upto 10000/min"
-msgstr "\"10.0.0.0/8 内の /28 サブネット (アドレス 8 個のグループ) それぞれに対して 10000 パケット/秒\" =E<gt> -s 10.0.0.0/8 --hashlimit-mask 28 --hashlimit-upto 10000/min"
-
-#. type: TP
-#, no-wrap
-msgid "matching bytes per second"
-msgstr "バイト/秒によるマッチ"
-
-#. type: Plain text
-msgid "\"flows exceeding 512kbyte/s\" =E<gt> --hashlimit-mode srcip,dstip,srcport,dstport --hashlimit-above 512kb/s"
-msgstr "\"512kbyte/s を超過したフロー\" =E<gt> --hashlimit-mode srcip,dstip,srcport,dstport --hashlimit-above 512kb/s"
-
-#. type: Plain text
-msgid "\"hosts that exceed 512kbyte/s, but permit up to 1Megabytes without matching\" --hashlimit-mode dstip --hashlimit-above 512kb/s --hashlimit-burst 1mb"
-msgstr "\"512kbyte/s を超過するとマッチするが、 1 メガバイトに達するまではマッチせず許可する\" --hashlimit-mode dstip --hashlimit-above 512kb/s --hashlimit-burst 1mb"
-
-#. type: SS
-#, no-wrap
-msgid "hbh (IPv6-specific)"
-msgstr "hbh (IPv6 のみ)"
-
-#. type: Plain text
-msgid "This module matches the parameters in Hop-by-Hop Options header"
-msgstr "このモジュールは Hop-by-Hop オプションヘッダーのパラメータにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--hbh-len> I<length>"
-msgstr "[B<!>] B<--hbh-len> I<length>"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hbh-opts> I<type>[B<:>I<length>][B<,>I<type>[B<:>I<length>]...]"
-msgstr "B<--hbh-opts> I<type>[B<:>I<length>][B<,>I<type>[B<:>I<length>]...]"
-
-#. type: SS
-#, no-wrap
-msgid "helper"
-msgstr "helper"
-
-#. type: Plain text
-msgid "This module matches packets related to a specific conntrack-helper."
-msgstr "このモジュールは、 指定されたコネクション追跡ヘルパーモジュールに 関連するパケットにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--helper> I<string>"
-msgstr "[B<!>] B<--helper> I<string>"
-
-#. type: Plain text
-msgid "Matches packets related to the specified conntrack-helper."
-msgstr "指定されたコネクション追跡ヘルパーモジュールに 関連するパケットにマッチする。"
-
-#. type: Plain text
-msgid "string can be \"ftp\" for packets related to a ftp-session on default port. For other ports append -portnr to the value, ie. \"ftp-2121\"."
-msgstr "デフォルトのポートを使った ftp-セッションに関連するパケットでは、 string に \"ftp\" と書ける。 他のポートでは \"-ポート番号\" を値に付け加える。 すなわち \"ftp-2121\" となる。"
-
-#. type: Plain text
-msgid "Same rules apply for other conntrack-helpers."
-msgstr "他のコネクション追跡ヘルパーでも同じルールが適用される。"
-
-#. type: SS
-#, no-wrap
-msgid "hl (IPv6-specific)"
-msgstr "hl (IPv6 のみ)"
-
-#. type: Plain text
-msgid "This module matches the Hop Limit field in the IPv6 header."
-msgstr "このモジュールは IPv6 ヘッダーの Hop Limit フィールドにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--hl-eq> I<value>"
-msgstr "[B<!>] B<--hl-eq> I<value>"
-
-#. type: Plain text
-msgid "Matches if Hop Limit equals I<value>."
-msgstr "Hop Limit が I<value> と同じ場合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hl-lt> I<value>"
-msgstr "B<--hl-lt> I<value>"
-
-#. type: Plain text
-msgid "Matches if Hop Limit is less than I<value>."
-msgstr "Hop Limit が I<value> より小さい場合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hl-gt> I<value>"
-msgstr "B<--hl-gt> I<value>"
-
-#. type: Plain text
-msgid "Matches if Hop Limit is greater than I<value>."
-msgstr "Hop Limit が I<value> より大きい場合にマッチする。"
-
-#. type: SS
-#, no-wrap
-msgid "icmp (IPv4-specific)"
-msgstr "icmp (IPv4 の場合)"
-
-#. type: Plain text
-msgid "This extension can be used if `--protocol icmp' is specified. It provides the following option:"
-msgstr "この拡張は `--protocol icmp' が指定された場合に使用でき、 以下のオプションが提供される:"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--icmp-type> {I<type>[B</>I<code>]|I<typename>}"
-msgstr "[B<!>] B<--icmp-type> {I<type>[B</>I<code>]|I<typename>}"
-
-#. type: Plain text
-msgid "This allows specification of the ICMP type, which can be a numeric ICMP type, type/code pair, or one of the ICMP type names shown by the command"
-msgstr "ICMP タイプを指定できる。 タイプ指定には、 数値の ICMP タイプ、 タイプ/コードの組、 または以下のコマンド で表示される ICMP タイプ名を指定できる。"
-
-#. type: Plain text
-#, no-wrap
-msgid " iptables -p icmp -h\n"
-msgstr " iptables -p icmp -h\n"
-
-#. type: SS
-#, no-wrap
-msgid "icmp6 (IPv6-specific)"
-msgstr "icmp6 (IPv6 のみ)"
-
-#. type: Plain text
-msgid "This extension can be used if `--protocol ipv6-icmp' or `--protocol icmpv6' is specified. It provides the following option:"
-msgstr "これらの拡張は `--protocol ipv6-icmp' または `--protocol icmpv6' が指定された場合に使用でき、 以下のオプションが提供される:"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--icmpv6-type> I<type>[B</>I<code>]|I<typename>"
-msgstr "[B<!>] B<--icmpv6-type> I<type>[B</>I<code>]|I<typename>"
-
-#. type: Plain text
-msgid "This allows specification of the ICMPv6 type, which can be a numeric ICMPv6 I<type>, I<type> and I<code>, or one of the ICMPv6 type names shown by the command"
-msgstr "ICMPv6 タイプを指定できる。 タイプ指定には、 数値の ICMP I<type>、 I<type> と I<code>、 または以下のコマンド で表示される ICMPv6 タイプ名を指定できる。"
-
-#. type: Plain text
-#, no-wrap
-msgid " ip6tables -p ipv6-icmp -h\n"
-msgstr " ip6tables -p ipv6-icmp -h\n"
-
-#. type: SS
-#, no-wrap
-msgid "iprange"
-msgstr "iprange"
-
-#. type: Plain text
-msgid "This matches on a given arbitrary range of IP addresses."
-msgstr "このモジュールは指定された任意の範囲の IP アドレスにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--src-range> I<from>[B<->I<to>]"
-msgstr "[B<!>] B<--src-range> I<from>[B<->I<to>]"
-
-#. type: Plain text
-msgid "Match source IP in the specified range."
-msgstr "指定された範囲の送信元 IP にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--dst-range> I<from>[B<->I<to>]"
-msgstr "[B<!>] B<--dst-range> I<from>[B<->I<to>]"
-
-#. type: Plain text
-msgid "Match destination IP in the specified range."
-msgstr "指定された範囲の宛先 IP にマッチする。"
-
-#. type: SS
-#, no-wrap
-msgid "ipv6header (IPv6-specific)"
-msgstr "ipv6header (IPv6 のみ)"
-
-#. type: Plain text
-msgid "This module matches IPv6 extension headers and/or upper layer header."
-msgstr "このモジュールは IPv6 拡張ヘッダー、 上位レイヤのヘッダー、もしくはその両方にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--soft>"
-msgstr "B<--soft>"
-
-#. type: Plain text
-msgid "Matches if the packet includes B<any> of the headers specified with B<--header>."
-msgstr "パケットが B<--header> で指定されたヘッダーのB<いずれか>を含む場合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--header> I<header>[B<,>I<header>...]"
-msgstr "[B<!>] B<--header> I<header>[B<,>I<header>...]"
-
-#. type: Plain text
-msgid "Matches the packet which EXACTLY includes all specified headers. The headers encapsulated with ESP header are out of scope. Possible I<header> types can be:"
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<hop>|B<hop-by-hop>"
-msgstr "B<hop>|B<hop-by-hop>"
-
-#. type: Plain text
-msgid "Hop-by-Hop Options header"
-msgstr "Hop-by-Hop オプションヘッダー"
-
-#. type: TP
-#, no-wrap
-msgid "B<dst>"
-msgstr "B<dst>"
-
-#. type: Plain text
-msgid "Destination Options header"
-msgstr "宛先オプションヘッダー"
-
-#. type: TP
-#, no-wrap
-msgid "B<route>"
-msgstr "B<route>"
-
-#. type: Plain text
-msgid "Routing header"
-msgstr "ルーティングヘッダー"
-
-#. type: TP
-#, no-wrap
-msgid "B<frag>"
-msgstr "B<frag>"
-
-#. type: Plain text
-msgid "Fragment header"
-msgstr "フラグメントヘッダー"
-
-#. type: TP
-#, no-wrap
-msgid "B<auth>"
-msgstr "B<auth>"
-
-#. type: Plain text
-msgid "Authentication header"
-msgstr "認証ヘッダー (AH)"
-
-#. type: TP
-#, no-wrap
-msgid "B<esp>"
-msgstr "B<esp>"
-
-#. type: Plain text
-msgid "Encapsulating Security Payload header"
-msgstr "ESP (Encapsulating Security Payload) ヘッダー"
-
-#. type: TP
-#, no-wrap
-msgid "B<none>"
-msgstr "B<none>"
-
-#. type: Plain text
-msgid "No Next header which matches 59 in the 'Next Header field' of IPv6 header or any IPv6 extension headers"
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<proto>"
-msgstr "B<proto>"
-
-#. type: Plain text
-msgid "which matches any upper layer protocol header. A protocol name from /etc/protocols and numeric value also allowed. The number 255 is equivalent to B<proto>."
-msgstr ""
-
-#. type: SS
-#, no-wrap
-msgid "ipvs"
-msgstr "ipvs"
-
-#. type: Plain text
-msgid "Match IPVS connection properties."
-msgstr "IPVS コネクション属性にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ipvs>"
-msgstr "[B<!>] B<--ipvs>"
-
-#. type: Plain text
-msgid "packet belongs to an IPVS connection"
-msgstr "IPVS コネクションに属すパケット"
-
-#. type: TP
-#, no-wrap
-msgid "Any of the following options implies --ipvs (even negated)"
-msgstr "以下のオプションでは --ipvs も暗黙のうちに指定される (否定の場合も含む)"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--vproto> I<protocol>"
-msgstr "[B<!>] B<--vproto> I<protocol>"
-
-#. type: Plain text
-msgid "VIP protocol to match; by number or name, e.g. \"tcp\""
-msgstr "マッチする VIP プロトコル (数値か名前 (例えば \"tcp\") で指定する)"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--vaddr> I<address>[B</>I<mask>]"
-msgstr "[B<!>] B<--vaddr> I<address>[B</>I<mask>]"
-
-#. type: Plain text
-msgid "VIP address to match"
-msgstr "マッチする VIP アドレス"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--vport> I<port>"
-msgstr "[B<!>] B<--vport> I<port>"
-
-#. type: Plain text
-msgid "VIP port to match; by number or name, e.g. \"http\""
-msgstr "マッチする VIP プロトコル (数値か名前 (例えば \\\"http\\\") で指定する)"
-
-#. type: TP
-#, no-wrap
-msgid "B<--vdir> {B<ORIGINAL>|B<REPLY>}"
-msgstr "B<--vdir> {B<ORIGINAL>|B<REPLY>}"
-
-#. type: Plain text
-msgid "flow direction of packet"
-msgstr "パケットフローの方向"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--vmethod> {B<GATE>|B<IPIP>|B<MASQ>}"
-msgstr "[B<!>] B<--vmethod> {B<GATE>|B<IPIP>|B<MASQ>}"
-
-#. type: Plain text
-msgid "IPVS forwarding method used"
-msgstr "使用する IPVS の転送方法"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--vportctl> I<port>"
-msgstr "[B<!>] B<--vportctl> I<port>"
-
-#. type: Plain text
-msgid "VIP port of the controlling connection to match, e.g. 21 for FTP"
-msgstr "マッチする制御用コネクションの VIP ポート (例えば FTP であれば 21)"
-
-#. type: SS
-#, no-wrap
-msgid "length"
-msgstr "length"
-
-#. type: Plain text
-msgid "This module matches the length of the layer-3 payload (e.g. layer-4 packet) of a packet against a specific value or range of values."
-msgstr "このモジュールは、 パケットのレイヤ 3 ペイロード (例えばレイヤ 4 パケット) の長さが、 指定された値、 または値の範囲にあればマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--length> I<length>[B<:>I<length>]"
-msgstr "[B<!>] B<--length> I<length>[B<:>I<length>]"
-
-#. type: SS
-#, no-wrap
-msgid "limit"
-msgstr "limit"
-
-#. type: Plain text
-msgid "This module matches at a limited rate using a token bucket filter. A rule using this extension will match until this limit is reached. It can be used in combination with the B<LOG> target to give limited logging, for example."
-msgstr "このモジュールは、 トークンバケットフィルタを使って制限レートのマッチを行う。 この拡張を使ったルールは、指定された制限に達するまでマッチする。 例えば、 このモジュールはログ記録を制限するために B<LOG> ターゲットと組み合わせて使うことができる。"
-
-#. type: Plain text
-msgid "xt_limit has no negation support - you will have to use -m hashlimit ! --hashlimit I<rate> in this case whilst omitting --hashlimit-mode."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--limit> I<rate>[B</second>|B</minute>|B</hour>|B</day>]"
-msgstr "B<--limit> I<rate>[B</second>|B</minute>|B</hour>|B</day>]"
-
-#. type: Plain text
-msgid "Maximum average matching rate: specified as a number, with an optional `/second', `/minute', `/hour', or `/day' suffix; the default is 3/hour."
-msgstr "単位時間あたりの平均マッチ回数の最大値。 数値で指定され、 添字 `/second', `/minute', `/hour', `/day' を付けることもできる。 デフォルトは 3/hour である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--limit-burst> I<number>"
-msgstr "B<--limit-burst> I<number>"
-
-#. type: Plain text
-msgid "Maximum initial number of packets to match: this number gets recharged by one every time the limit specified above is not reached, up to this number; the default is 5."
-msgstr "パケットがマッチする回数の最大初期値: 上のオプションで指定した制限に達しなければ、 マッチするごとに、 この数値になるまで 1 個ずつ増やされる。 デフォルトは 5 である。"
-
-#. type: SS
-#, no-wrap
-msgid "mac"
-msgstr "mac"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--mac-source> I<address>"
-msgstr "[B<!>] B<--mac-source> I<address>"
-
-#. type: Plain text
-msgid "Match source MAC address. It must be of the form XX:XX:XX:XX:XX:XX. Note that this only makes sense for packets coming from an Ethernet device and entering the B<PREROUTING>, B<FORWARD> or B<INPUT> chains."
-msgstr ""
-"送信元 MAC アドレスにマッチする。 I<address> は XX:XX:XX:XX:XX:XX と\n"
-"いう形式でなければならない。 イーサーネットデバイスから入ってくるパケッ\n"
-"トで、 B<PREROUTING>, B<FORWARD>, B<INPUT> チェインに入るパケットにしか\n"
-"意味がない。"
-
-#. type: SS
-#, no-wrap
-msgid "mark"
-msgstr "mark"
-
-#. type: Plain text
-msgid "This module matches the netfilter mark field associated with a packet (which can be set using the B<MARK> target below)."
-msgstr "このモジュールはパケットに関連づけられた netfilter の mark フィールドにマッチする (このフィールドは、 以下の B<MARK> ターゲットで設定される)。"
-
-#. type: Plain text
-msgid "Matches packets with the given unsigned mark value (if a I<mask> is specified, this is logically ANDed with the I<mask> before the comparison)."
-msgstr "指定された符号なしの mark 値を持つパケットにマッチする (I<mask> が指定されると、 比較の前に I<mask> との論理積 (AND) がとられる)。"
-
-#. type: SS
-#, no-wrap
-msgid "mh (IPv6-specific)"
-msgstr "mh (IPv6 のみ)"
-
-#. type: Plain text
-msgid "This extension is loaded if `--protocol ipv6-mh' or `--protocol mh' is specified. It provides the following option:"
-msgstr "この拡張は `--protocol ipv6-mh' または `--protocol mh' が指定された場合にロードされる。 以下のオプションが提供される。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--mh-type> I<type>[B<:>I<type>]"
-msgstr "[B<!>] B<--mh-type> I<type>[B<:>I<type>]"
-
-#. type: Plain text
-msgid "This allows specification of the Mobility Header(MH) type, which can be a numeric MH I<type>, I<type> or one of the MH type names shown by the command"
-msgstr "Mobility Header (MH) タイプを指定できる。 タイプ指定には、 数値の MH タイプか、 以下のコマンドで表示される MH タイプ名を指定できる。"
-
-#. type: Plain text
-#, no-wrap
-msgid " ip6tables -p mh -h\n"
-msgstr " ip6tables -p mh -h\n"
-
-#. type: SS
-#, no-wrap
-msgid "multiport"
-msgstr "multiport"
-
-#. type: Plain text
-msgid "This module matches a set of source or destination ports. Up to 15 ports can be specified. A port range (port:port) counts as two ports. It can only be used in conjunction with one of the following protocols: B<tcp>, B<udp>, B<udplite>, B<dccp> and B<sctp>."
-msgstr "このモジュールは送信元ポートや宛先ポートの集合にマッチする。 ポートは 15 個まで指定できる。 ポートの範囲指定 (port:port) は 2 ポートとカウントされる。 このモジュールが使用できるのは B<tcp>, B<udp>, B<udplite>, B<dccp>, B<sctp> のいずれかと組み合わせた場合だけである。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--source-ports>,B<--sports> I<port>[B<,>I<port>|B<,>I<port>B<:>I<port>]..."
-msgstr "[B<!>] B<--source-ports>,B<--sports> I<port>[B<,>I<port>|B<,>I<port>B<:>I<port>]..."
-
-#. type: Plain text
-msgid "Match if the source port is one of the given ports. The flag B<--sports> is a convenient alias for this option. Multiple ports or port ranges are separated using a comma, and a port range is specified using a colon. B<53,1024:65535> would therefore match ports 53 and all from 1024 through 65535."
-msgstr "送信元ポートが指定されたポートのいずれにマッチする。 フラグ B<--sports> はこのオプションの便利な別名である。 複数のポートやポート範囲がカンマ区切りで指定できる。 ポート範囲はコロン区切りで指定する。 したがって B<53,1024:65535> はポート 53 および 1024 から 65535 までの全ポートにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--destination-ports>,B<--dports> I<port>[B<,>I<port>|B<,>I<port>B<:>I<port>]..."
-msgstr "[B<!>] B<--destination-ports>,B<--dports> I<port>[B<,>I<port>|B<,>I<port>B<:>I<port>]..."
-
-#. type: Plain text
-msgid "Match if the destination port is one of the given ports. The flag B<--dports> is a convenient alias for this option."
-msgstr ""
-"宛先ポートが指定されたポートのうちのいずれかであればマッチする。 \n"
-"フラグ B<--dports> は、 このオプションの便利な別名である。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ports> I<port>[B<,>I<port>|B<,>I<port>B<:>I<port>]..."
-msgstr "[B<!>] B<--ports> I<port>[B<,>I<port>|B<,>I<port>B<:>I<port>]..."
-
-#. type: Plain text
-msgid "Match if either the source or destination ports are equal to one of the given ports."
-msgstr "送信元ポートと宛先ポートの一方が指定されたポートのいずれか一つと等しければ、 マッチする。"
-
-#. type: SS
-#, no-wrap
-msgid "nfacct"
-msgstr "nfacct"
-
-#. type: Plain text
-msgid "The nfacct match provides the extended accounting infrastructure for iptables. You have to use this match together with the standalone user-space utility B<nfacct(8)>"
-msgstr "nfacct マッチングは iptable に拡張アカウンティング機構を提供する。 このマッチングモジュールはユーザー空間スタンドアロンユーティリティ B<nfacct>(8) と一緒に使う必要がある。"
-
-#. type: Plain text
-msgid "The only option available for this match is the following:"
-msgstr "以下のオプションだけがこのマッチングで使用できる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--nfacct-name> I<name>"
-msgstr "B<--nfacct-name> I<name>"
-
-#. type: Plain text
-msgid "This allows you to specify the existing object name that will be use for accounting the traffic that this rule-set is matching."
-msgstr "このルールセットがマッチするトラフィック量を記録するのに使用する既存のオブジェクト名を指定する。"
-
-#. type: Plain text
-msgid "To use this extension, you have to create an accounting object:"
-msgstr "この拡張を使用するには、アカウンティングオブジェクトを作成する必要があります。"
-
-#. type: Plain text
-msgid "nfacct add http-traffic"
-msgstr "nfacct add http-traffic"
-
-#. type: Plain text
-msgid "Then, you have to attach it to the accounting object via iptables:"
-msgstr "それから、iptables を使ってアカウンティングオブジェクトにトラフィックを関連付けます。"
-
-#. type: Plain text
-msgid "iptables -I INPUT -p tcp --sport 80 -m nfacct --nfacct-name http-traffic"
-msgstr "iptables -I INPUT -p tcp --sport 80 -m nfacct --nfacct-name http-traffic"
-
-#. type: Plain text
-msgid "iptables -I OUTPUT -p tcp --dport 80 -m nfacct --nfacct-name http-traffic"
-msgstr "iptables -I OUTPUT -p tcp --dport 80 -m nfacct --nfacct-name http-traffic"
-
-#. type: Plain text
-msgid "Then, you can check for the amount of traffic that the rules match:"
-msgstr "そうすると、ルールにマッチしたトラフィック量をチェックできる。"
-
-#. type: Plain text
-msgid "nfacct get http-traffic"
-msgstr "nfacct get http-traffic"
-
-#. type: Plain text
-msgid "{ pkts = 00000000000000000156, bytes = 00000000000000151786 } = http-traffic;"
-msgstr "{ pkts = 00000000000000000156, bytes = 00000000000000151786 } = http-traffic;"
-
-#. type: Plain text
-msgid "You can obtain B<nfacct(8)> from http://www.netfilter.org or, alternatively, from the git.netfilter.org repository."
-msgstr "B<nfacct>(8) は http://www.netfilter.org もしくは git.netfilter.org リポジトリから入手できる。"
-
-#. type: SS
-#, no-wrap
-msgid "osf"
-msgstr "osf"
-
-#. type: Plain text
-msgid "The osf module does passive operating system fingerprinting. This modules compares some data (Window Size, MSS, options and their order, TTL, DF, and others) from packets with the SYN bit set."
-msgstr "osf モジュールは受動的な OS (オペレーティングシステム) フィンガープリンティングを行う。 このモジュールは SYN ビットがセットされたパケットのいくつかのデータ (Window Size, MSS, オプションとその順序, TTL, DF など) を比較する。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--genre> I<string>"
-msgstr "[B<!>] B<--genre> I<string>"
-
-#. type: Plain text
-msgid "Match an operating system genre by using a passive fingerprinting."
-msgstr "受動的フィンガープリンティングでマッチさせるオペレーティングシステムのジャンル。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--ttl> I<level>"
-msgstr "B<--ttl> I<level>"
-
-#. type: Plain text
-msgid "Do additional TTL checks on the packet to determine the operating system. I<level> can be one of the following values:"
-msgstr "パケットに対して、オペレーティングシステムを判定するための追加の TTL チェックを行う。 I<level> には以下の値のいずれを指定できる。"
-
-#. type: IP
-#, no-wrap
-msgid "\\(bu"
-msgstr "\\(bu"
-
-#. type: Plain text
-msgid "0 - True IP address and fingerprint TTL comparison. This generally works for LANs."
-msgstr "0 - 本当の IP アドレスとフィンガープリント TTL の比較を行う。 一般に LAN で有効である。"
-
-#. type: Plain text
-msgid "1 - Check if the IP header's TTL is less than the fingerprint one. Works for globally-routable addresses."
-msgstr "1 - IP ヘッダーの TTL がフィンガープリント TTL より小さいかチェックする。 グローバルにルーティング可能なアドレスで有効である。"
-
-#. type: Plain text
-msgid "2 - Do not compare the TTL at all."
-msgstr "2 - TTL の比較を全く行わない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--log> I<level>"
-msgstr "B<--log> I<level>"
-
-#. type: Plain text
-msgid "Log determined genres into dmesg even if they do not match the desired one. I<level> can be one of the following values:"
-msgstr "判別したジャンルが期待するものと違う場合でもロギングするかどうか。 I<level> には以下のいずれかを指定できる。"
-
-#. type: Plain text
-msgid "0 - Log all matched or unknown signatures"
-msgstr "マッチしたシグネチャーと不明なシグネチャーをすべて記録する"
-
-#. type: Plain text
-msgid "1 - Log only the first one"
-msgstr "1 - 最初にマッチしたもののみを記録する"
-
-#. type: Plain text
-msgid "2 - Log all known matched signatures"
-msgstr "2 - マッチした既知のシグネチャーをすべて記録する"
-
-#. type: Plain text
-msgid "You may find something like this in syslog:"
-msgstr "syslog に以下のようなメッセージが記録される。"
-
-#. type: Plain text
-msgid "Windows [2000:SP3:Windows XP Pro SP1, 2000 SP3]: 11.22.33.55:4024 -E<gt> 11.22.33.44:139 hops=3 Linux [2.5-2.6:] : 1.2.3.4:42624 -E<gt> 1.2.3.5:22 hops=4"
-msgstr "Windows [2000:SP3:Windows XP Pro SP1, 2000 SP3]: 11.22.33.55:4024 -E<gt> 11.22.33.44:139 hops=3 Linux [2.5-2.6:] : 1.2.3.4:42624 -E<gt> 1.2.3.5:22 hops=4"
-
-#. type: Plain text
-msgid "OS fingerprints are loadable using the B<nfnl_osf> program. To load fingerprints from a file, use:"
-msgstr "OS フィンガープリントは B<nfnl_osf> プログラムを使ってロードできる。 ファイルからフィンガープリントをロードするには以下のようにする。"
-
-#. type: Plain text
-msgid "B<nfnl_osf -f /usr/share/xtables/pf.os>"
-msgstr "B<nfnl_osf -f /usr/share/xtables/pf.os>"
-
-#. type: Plain text
-msgid "To remove them again,"
-msgstr "再度削除するには以下のようにする。"
-
-#. type: Plain text
-msgid "B<nfnl_osf -f /usr/share/xtables/pf.os -d>"
-msgstr "B<nfnl_osf -f /usr/share/xtables/pf.os -d>"
-
-#. type: Plain text
-msgid "The fingerprint database can be downlaoded from http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.os ."
-msgstr "フィンガープリントデータベースは http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.os からダウンロードできる。"
-
-#. type: SS
-#, no-wrap
-msgid "owner"
-msgstr "owner"
-
-#. type: Plain text
-msgid "This module attempts to match various characteristics of the packet creator, for locally generated packets. This match is only valid in the OUTPUT and POSTROUTING chains. Forwarded packets do not have any socket associated with them. Packets from kernel threads do have a socket, but usually no owner."
-msgstr "このモジュールは、 ローカルで生成されたパケットに対して、 パケット生成者の様々な特性に対するマッチを行う。 このマッチは OUTPUT チェインか POSTROUTING チェインでのみ有効である。 転送パケットはどのソケットとも関連付けられていない。 カーネルスレッドからのパケットには対応するソケットがあるが、 通常ソケットの所有者はいない。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--uid-owner> I<username>"
-msgstr "[B<!>] B<--uid-owner> I<username>"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--uid-owner> I<userid>[B<->I<userid>]"
-msgstr "[B<!>] B<--uid-owner> I<userid>[B<->I<userid>]"
-
-#. type: Plain text
-msgid "Matches if the packet socket's file structure (if it has one) is owned by the given user. You may also specify a numerical UID, or an UID range."
-msgstr "そのパケットのソケットのファイル構造体が存在し、ソケットの所有者が指定されたユーザーの場合にマッチする。 数値の UID や UID の範囲を指定することもできる。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--gid-owner> I<groupname>"
-msgstr "[B<!>] B<--gid-owner> I<groupname>"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--gid-owner> I<groupid>[B<->I<groupid>]"
-msgstr "[B<!>] B<--gid-owner> I<groupid>[B<->I<groupid>]"
-
-#. type: Plain text
-msgid "Matches if the packet socket's file structure is owned by the given group. You may also specify a numerical GID, or a GID range."
-msgstr "そのパケットのソケットのファイル構造体の所有者が指定されたグループの場合にマッチする。 数値の GID や GID の範囲を指定することもできる。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--socket-exists>"
-msgstr "[B<!>] B<--socket-exists>"
-
-#. type: Plain text
-msgid "Matches if the packet is associated with a socket."
-msgstr "パケットがソケットに関連付けられている場合にマッチする。"
-
-#. type: SS
-#, no-wrap
-msgid "physdev"
-msgstr "physdev"
-
-#. type: Plain text
-msgid "This module matches on the bridge port input and output devices enslaved to a bridge device. This module is a part of the infrastructure that enables a transparent bridging IP firewall and is only useful for kernel versions above version 2.5.44."
-msgstr "このモジュールは、 ブリッジデバイスのスレーブにされた、 ブリッジポートの入出力デバイスにマッチする。 このモジュールは、 ブリッジによる透過的な IP ファイアウォールの基盤の一部であり、 カーネルバージョン 2.5.44 以降でのみ有効である。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--physdev-in> I<name>"
-msgstr "[B<!>] B<--physdev-in> I<name>"
-
-#. type: Plain text
-msgid "Name of a bridge port via which a packet is received (only for packets entering the B<INPUT>, B<FORWARD> and B<PREROUTING> chains). If the interface name ends in a \"+\", then any interface which begins with this name will match. If the packet didn't arrive through a bridge device, this packet won't match this option, unless '!' is used."
-msgstr "パケットが受信されるブリッジのポート名 (B<INPUT>, B<FORWARD>, B<PREROUTING> チェインに入るパケットのみ)。 インターフェース名が \"+\" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 ブリッジデバイスを通して受け取られなかったパケットは、 \\&'!' が指定されていない限り、 このオプションにマッチしない。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--physdev-out> I<name>"
-msgstr "[B<!>] B<--physdev-out> I<name>"
-
-#. type: Plain text
-msgid "Name of a bridge port via which a packet is going to be sent (for packets entering the B<FORWARD>, B<OUTPUT> and B<POSTROUTING> chains). If the interface name ends in a \"+\", then any interface which begins with this name will match. Note that in the B<nat> and B<mangle> B<OUTPUT> chains one cannot match on the bridge output port, however one can in the B<filter OUTPUT> chain. If the packet won't leave by a bridge device or if it is yet unknown what the output device will be, then the packet won't match this option, unless '!' is used."
-msgstr "パケットを送信することになるブリッジのポート名 (B<FORWARD>, B<OUTPUT>, B<POSTROUTING> チェインに入るパケットのみ)。 インターフェース名が \"+\" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 B<nat> と B<mangle> テーブルの B<OUTPUT> チェインではブリッジの出力ポートにマッチさせることができないが、 B<filter> テーブルの B<OUPUT> チェインではマッチ可能である。 パケットがブリッジデバイスから送られなかった場合、 またはパケットの出力デバイスが不明であった場合は、 \\&'!' が指定されていない限り、 パケットはこのオプションにマッチしない。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--physdev-is-in>"
-msgstr "[B<!>] B<--physdev-is-in>"
-
-#. type: Plain text
-msgid "Matches if the packet has entered through a bridge interface."
-msgstr "パケットがブリッジインターフェースに入った場合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--physdev-is-out>"
-msgstr "[B<!>] B<--physdev-is-out>"
-
-#. type: Plain text
-msgid "Matches if the packet will leave through a bridge interface."
-msgstr "パケットがブリッジインターフェースから出ようとした場合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--physdev-is-bridged>"
-msgstr "[B<!>] B<--physdev-is-bridged>"
-
-#. type: Plain text
-msgid "Matches if the packet is being bridged and therefore is not being routed. This is only useful in the FORWARD and POSTROUTING chains."
-msgstr "パケットがブリッジされることにより、 ルーティングされなかった場合にマッチする。 これは FORWARD, POSTROUTING チェインにおいてのみ役立つ。"
-
-#. type: SS
-#, no-wrap
-msgid "pkttype"
-msgstr "pkttype"
-
-#. type: Plain text
-msgid "This module matches the link-layer packet type."
-msgstr "このモジュールは、 リンク層のパケットタイプにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--pkt-type> {B<unicast>|B<broadcast>|B<multicast>}"
-msgstr "[B<!>] B<--pkt-type> {B<unicast>|B<broadcast>|B<multicast>}"
-
-#. type: SS
-#, no-wrap
-msgid "policy"
-msgstr "policy"
-
-#. type: Plain text
-msgid "This modules matches the policy used by IPsec for handling a packet."
-msgstr "このモジュールはパケットを処理する IPsec が使用するポリシーにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--dir> {B<in>|B<out>}"
-msgstr "B<--dir> {B<in>|B<out>}"
-
-#. type: Plain text
-msgid "Used to select whether to match the policy used for decapsulation or the policy that will be used for encapsulation. B<in> is valid in the B<PREROUTING, INPUT and FORWARD> chains, B<out> is valid in the B<POSTROUTING, OUTPUT and FORWARD> chains."
-msgstr "復号 (decapsulation) に使用するポリシーにマッチするか、カプセル化 (encapsulation) に使用するポリシーにマッチするかを指定する。 B<in> はチェイン B<PREROUTING, INPUT, FORWARD> で有効で、 B<out> はチェイン B<POSTROUTING, OUTPUT, FORWARD> で有効である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--pol> {B<none>|B<ipsec>}"
-msgstr "B<--pol> {B<none>|B<ipsec>}"
-
-#. type: Plain text
-msgid "Matches if the packet is subject to IPsec processing. B<--pol none> cannot be combined with B<--strict>."
-msgstr "パケットが IPsec 処理対象であればマッチする。 B<--pol none> は B<--strict> と一緒に使用できない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--strict>"
-msgstr "B<--strict>"
-
-#. type: Plain text
-msgid "Selects whether to match the exact policy or match if any rule of the policy matches the given policy."
-msgstr "ポリシーが正確にマッチするか、指定したポリシーがポリシーのいずれかのルールにマッチするかを指定する。"
-
-#. type: Plain text
-msgid "For each policy element that is to be described, one can use one or more of the following options. When B<--strict> is in effect, at least one must be used per element."
-msgstr "それぞれのポリシー要素を定義するのに、以下のオプション (複数可) を使用することができる。 B<--strict> が有効になっている場合、各要素につき少なくともオプションを一つ指定しなければならない。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--reqid> I<id>"
-msgstr "[B<!>] B<--reqid> I<id>"
-
-#. type: Plain text
-msgid "Matches the reqid of the policy rule. The reqid can be specified with B<setkey(8)> using B<unique:id> as level."
-msgstr "ポリシールールの reqid にマッチする。 reqid は B<setkey>(8) でレベルとして B<unique:id> を使って指定できる。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--spi> I<spi>"
-msgstr "[B<!>] B<--spi> I<spi>"
-
-#. type: Plain text
-msgid "Matches the SPI of the SA."
-msgstr "SA の SPI にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--proto> {B<ah>|B<esp>|B<ipcomp>}"
-msgstr "[B<!>] B<--proto> {B<ah>|B<esp>|B<ipcomp>}"
-
-#. type: Plain text
-msgid "Matches the encapsulation protocol."
-msgstr "カプセル化プロトコルにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--mode> {B<tunnel>|B<transport>}"
-msgstr "[B<!>] B<--mode> {B<tunnel>|B<transport>}"
-
-#. type: Plain text
-msgid "Matches the encapsulation mode."
-msgstr "カプセル化モードにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--tunnel-src> I<addr>[B</>I<mask>]"
-msgstr "[B<!>] B<--tunnel-src> I<addr>[B</>I<mask>]"
-
-#. type: Plain text
-msgid "Matches the source end-point address of a tunnel mode SA. Only valid with B<--mode tunnel>."
-msgstr "トンネルモード SA の送信元エンドポイントアドレスにマッチする。 B<--mode tunnel> との組み合わせでのみ有効。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--tunnel-dst> I<addr>[B</>I<mask>]"
-msgstr "[B<!>] B<--tunnel-dst> I<addr>[B</>I<mask>]"
-
-#. type: Plain text
-msgid "Matches the destination end-point address of a tunnel mode SA. Only valid with B<--mode tunnel>."
-msgstr "トンネルモード SA の宛先エンドポイントアドレスにマッチする。 B<--mode tunnel> との組み合わせでのみ有効。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--next>"
-msgstr "B<--next>"
-
-#. type: Plain text
-msgid "Start the next element in the policy specification. Can only be used with B<--strict>."
-msgstr "ポリシー定義の次の要素から開始する。 B<--strict> との組み合わせでのみ使用できる。"
-
-#. type: SS
-#, no-wrap
-msgid "quota"
-msgstr "quota"
-
-#. type: Plain text
-msgid "Implements network quotas by decrementing a byte counter with each packet. The condition matches until the byte counter reaches zero. Behavior is reversed with negation (i.e. the condition does not match until the byte counter reaches zero)."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--quota> I<bytes>"
-msgstr "[B<!>] B<--quota> I<bytes>"
-
-#. type: Plain text
-msgid "The quota in bytes."
-msgstr "バイト単位のクォータ。"
-
-#. type: SS
-#, no-wrap
-msgid "rateest"
-msgstr "rateest"
-
-#. type: Plain text
-msgid "The rate estimator can match on estimated rates as collected by the RATEEST target. It supports matching on absolute bps/pps values, comparing two rate estimators and matching on the difference between two rate estimators."
-msgstr "レート推測器 (rate estimator) は RATEEST ターゲットで収集された推定レートにマッチする。 bps/pps の絶対値に対するマッチング、 2 つのレート推測器の比較、 2 つのレート推測器の差分に対するマッチングをサポートしている。"
-
-#. * Absolute:
-#. type: Plain text
-msgid "For a better understanding of the available options, these are all possible combinations:"
-msgstr "利用可能なオプションが分かりやすいように、すべての可能な組み合わせを以下に示す。"
-
-#. type: Plain text
-msgid "B<rateest> I<operator> B<rateest-bps>"
-msgstr "B<rateest> I<operator> B<rateest-bps>"
-
-#. * Absolute + Delta:
-#. type: Plain text
-msgid "B<rateest> I<operator> B<rateest-pps>"
-msgstr "B<rateest> I<operator> B<rateest-pps>"
-
-#. type: Plain text
-msgid "(B<rateest> minus B<rateest-bps1>) I<operator> B<rateest-bps2>"
-msgstr "(B<rateest> minus B<rateest-bps1>) I<operator> B<rateest-bps2>"
-
-#. * Relative:
-#. type: Plain text
-msgid "(B<rateest> minus B<rateest-pps1>) I<operator> B<rateest-pps2>"
-msgstr "(B<rateest> minus B<rateest-pps1>) I<operator> B<rateest-pps2>"
-
-#. type: Plain text
-msgid "B<rateest1> I<operator> B<rateest2> B<rateest-bps>(without rate!)"
-msgstr "B<rateest1> I<operator> B<rateest2> B<rateest-bps>(without rate!)"
-
-#. * Relative + Delta:
-#. type: Plain text
-msgid "B<rateest1> I<operator> B<rateest2> B<rateest-pps>(without rate!)"
-msgstr "B<rateest1> I<operator> B<rateest2> B<rateest-pps>(without rate!)"
-
-#. type: Plain text
-msgid "(B<rateest1> minus B<rateest-bps1>) I<operator> (B<rateest2> minus B<rateest-bps2>)"
-msgstr "(B<rateest1> minus B<rateest-bps1>) I<operator> (B<rateest2> minus B<rateest-bps2>)"
-
-#. type: Plain text
-msgid "(B<rateest1> minus B<rateest-pps1>) I<operator> (B<rateest2> minus B<rateest-pps2>)"
-msgstr "(B<rateest1> minus B<rateest-pps1>) I<operator> (B<rateest2> minus B<rateest-pps2>)"
-
-#. type: TP
-#, no-wrap
-msgid "B<--rateest-delta>"
-msgstr "B<--rateest-delta>"
-
-#. type: Plain text
-msgid "For each estimator (either absolute or relative mode), calculate the difference between the estimator-determined flow rate and the static value chosen with the BPS/PPS options. If the flow rate is higher than the specified BPS/PPS, 0 will be used instead of a negative value. In other words, \"max(0, rateest#_rate - rateest#_bps)\" is used."
-msgstr "(絶対モードでも相対モードでも) 各レート推測器について、 レート推測器が推測したフローレートと BPS/PPS オプションで指定された固定値の差分を計算する。 フローレートが指定された BPS/PPS よりも大きい場合、 負の値ではなく 0 が代わりに使用される。 つまり \"max(0, rateest#_rate - rateest#_bps)\" が使用される。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--rateest-lt>"
-msgstr "[B<!>] B<--rateest-lt>"
-
-#. type: Plain text
-msgid "Match if rate is less than given rate/estimator."
-msgstr "レートが指定されたレートかレート推測器のレートよりも低い場合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--rateest-gt>"
-msgstr "[B<!>] B<--rateest-gt>"
-
-#. type: Plain text
-msgid "Match if rate is greater than given rate/estimator."
-msgstr "レートが指定されたレートかレート推測器のレートよりも高い場合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--rateest-eq>"
-msgstr "[B<!>] B<--rateest-eq>"
-
-#. type: Plain text
-msgid "Match if rate is equal to given rate/estimator."
-msgstr "レートが指定されたレートかレート推測器のレートと等しい場合にマッチする。"
-
-#. type: Plain text
-msgid "In the so-called \"absolute mode\", only one rate estimator is used and compared against a static value, while in \"relative mode\", two rate estimators are compared against another."
-msgstr "いわゆる「絶対モード」では、使用できるレート推測器は一つだけであり、固定値に対する比較だけができる。一方、「相対モード」では、2 つのレート推測器が使用でき、レート推測器どうしの比較ができる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--rateest> I<name>"
-msgstr "B<--rateest> I<name>"
-
-#. type: Plain text
-msgid "Name of the one rate estimator for absolute mode."
-msgstr "絶対モードで使用するレート推測器の名前"
-
-#. type: TP
-#, no-wrap
-msgid "B<--rateest1> I<name>"
-msgstr "B<--rateest1> I<name>"
-
-#. type: TP
-#, no-wrap
-msgid "B<--rateest2> I<name>"
-msgstr "B<--rateest2> I<name>"
-
-#. type: Plain text
-msgid "The names of the two rate estimators for relative mode."
-msgstr "相対モードで使用する 2 つレート推測器の名前"
-
-#. type: TP
-#, no-wrap
-msgid "B<--rateest-bps> [I<value>]"
-msgstr "B<--rateest-bps> [I<value>]"
-
-#. type: TP
-#, no-wrap
-msgid "B<--rateest-pps> [I<value>]"
-msgstr "B<--rateest-pps> [I<value>]"
-
-#. type: TP
-#, no-wrap
-msgid "B<--rateest-bps1> [I<value>]"
-msgstr "B<--rateest-bps1> [I<value>]"
-
-#. type: TP
-#, no-wrap
-msgid "B<--rateest-bps2> [I<value>]"
-msgstr "B<--rateest-bps2> [I<value>]"
-
-#. type: TP
-#, no-wrap
-msgid "B<--rateest-pps1> [I<value>]"
-msgstr "B<--rateest-pps1> [I<value>]"
-
-#. type: TP
-#, no-wrap
-msgid "B<--rateest-pps2> [I<value>]"
-msgstr "B<--rateest-pps2> [I<value>]"
-
-#. type: Plain text
-msgid "Compare the estimator(s) by bytes or packets per second, and compare against the chosen value. See the above bullet list for which option is to be used in which case. A unit suffix may be used - available ones are: bit, [kmgt]bit, [KMGT]ibit, Bps, [KMGT]Bps, [KMGT]iBps."
-msgstr "レート推測器と指定した値を、秒間のバイト数またはパケット数で比較する。 どのオプションがどの場合に使用できるかは上の箇条書きのリストを見てほしい。 単位を示す接尾辞を付けることができる。 bit, [kmgt]bit, [KMGT]ibit, Bps, [KMGT]Bps, [KMGT]iBps が使用できる。"
-
-#. type: Plain text
-msgid "Example: This is what can be used to route outgoing data connections from an FTP server over two lines based on the available bandwidth at the time the data connection was started:"
-msgstr "例: この機能を、データコネクションの開始時に利用可能帯域に基づいて、 FTP サーバーからの出力データコネクションを 2 つの回線に振り分けるのに使用する場合。"
-
-#. type: Plain text
-msgid "# Estimate outgoing rates"
-msgstr "# 出力レートを推定する"
-
-#. type: Plain text
-msgid "iptables -t mangle -A POSTROUTING -o eth0 -j RATEEST --rateest-name eth0 --rateest-interval 250ms --rateest-ewma 0.5s"
-msgstr "iptables -t mangle -A POSTROUTING -o eth0 -j RATEEST --rateest-name eth0 --rateest-interval 250ms --rateest-ewma 0.5s"
-
-#. type: Plain text
-msgid "iptables -t mangle -A POSTROUTING -o ppp0 -j RATEEST --rateest-name ppp0 --rateest-interval 250ms --rateest-ewma 0.5s"
-msgstr "iptables -t mangle -A POSTROUTING -o ppp0 -j RATEEST --rateest-name ppp0 --rateest-interval 250ms --rateest-ewma 0.5s"
-
-#. type: Plain text
-msgid "# Mark based on available bandwidth"
-msgstr "# 利用可能帯域に基づいてマーキングを行う"
-
-#. type: Plain text
-msgid "iptables -t mangle -A balance -m conntrack --ctstate NEW -m helper --helper ftp -m rateest --rateest-delta --rateest1 eth0 --rateest-bps1 2.5mbit --rateest-gt --rateest2 ppp0 --rateest-bps2 2mbit -j CONNMARK --set-mark 1"
-msgstr "iptables -t mangle -A balance -m conntrack --ctstate NEW -m helper --helper ftp -m rateest --rateest-delta --rateest1 eth0 --rateest-bps1 2.5mbit --rateest-gt --rateest2 ppp0 --rateest-bps2 2mbit -j CONNMARK --set-mark 1"
-
-#. type: Plain text
-msgid "iptables -t mangle -A balance -m conntrack --ctstate NEW -m helper --helper ftp -m rateest --rateest-delta --rateest1 ppp0 --rateest-bps1 2mbit --rateest-gt --rateest2 eth0 --rateest-bps2 2.5mbit -j CONNMARK --set-mark 2"
-msgstr "iptables -t mangle -A balance -m conntrack --ctstate NEW -m helper --helper ftp -m rateest --rateest-delta --rateest1 ppp0 --rateest-bps1 2mbit --rateest-gt --rateest2 eth0 --rateest-bps2 2.5mbit -j CONNMARK --set-mark 2"
-
-#. type: Plain text
-msgid "iptables -t mangle -A balance -j CONNMARK --restore-mark"
-msgstr "iptables -t mangle -A balance -j CONNMARK --restore-mark"
-
-#. type: SS
-#, no-wrap
-msgid "realm (IPv4-specific)"
-msgstr "realm (IPv4 の場合)"
-
-#. type: Plain text
-msgid "This matches the routing realm. Routing realms are used in complex routing setups involving dynamic routing protocols like BGP."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--realm> I<value>[B</>I<mask>]"
-msgstr "[B<!>] B<--realm> I<value>[B</>I<mask>]"
-
-#. type: Plain text
-msgid "Matches a given realm number (and optionally mask). If not a number, value can be a named realm from /etc/iproute2/rt_realms (mask can not be used in that case)."
-msgstr ""
-
-#. type: SS
-#, no-wrap
-msgid "recent"
-msgstr "recent"
-
-#. type: Plain text
-msgid "Allows you to dynamically create a list of IP addresses and then match against that list in a few different ways."
-msgstr "IP アドレスのリストを動的に作成し、このリストに対するマッチングをいくつかの方法で行う。"
-
-#. type: Plain text
-msgid "For example, you can create a \"badguy\" list out of people attempting to connect to port 139 on your firewall and then DROP all future packets from them without considering them."
-msgstr "例えば、 あなたのファイアウォールの 139 番ポートに接続しようとした「悪ガキ」リストを作成し、 そのアドレスからのこれ以降のすべてのパケットを「廃棄」する。"
-
-#. type: Plain text
-msgid "B<--set>, B<--rcheck>, B<--update> and B<--remove> are mutually exclusive."
-msgstr "B<--set>, B<--rcheck>, B<--update>, B<--remove> は同時に使用できない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--name> I<name>"
-msgstr "B<--name> I<name>"
-
-#. type: Plain text
-msgid "Specify the list to use for the commands. If no name is given then B<DEFAULT> will be used."
-msgstr "コマンドで使用するリストを指定する。名前が指定されなかった場合 B<DEFAULT> が使用される。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--set>"
-msgstr "[B<!>] B<--set>"
-
-#. type: Plain text
-msgid "This will add the source address of the packet to the list. If the source address is already in the list, this will update the existing entry. This will always return success (or failure if B<!> is passed in)."
-msgstr "リストにパケットの送信元アドレスを追加する。 その送信元アドレスがすでにリストにある場合は、既存のエントリーを更新する。 常に成功を返す (B<!> が指定されている場合は常に失敗を返す)。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--rsource>"
-msgstr "B<--rsource>"
-
-#. type: Plain text
-msgid "Match/save the source address of each packet in the recent list table. This is the default."
-msgstr "recent リストのテーブルの照合/保存で、各パケットの送信元アドレスを使う。 これがデフォルトである。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--rdest>"
-msgstr "B<--rdest>"
-
-#. type: Plain text
-msgid "Match/save the destination address of each packet in the recent list table."
-msgstr "recent リストのテーブルの照合/保存で、各パケットの宛先アドレスを使う。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--mask> I<netmask>"
-msgstr "B<--mask> I<netmask>"
-
-#. type: Plain text
-msgid "Netmask that will be applied to this recent list."
-msgstr "この recent リストに適用するネットマスク。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--rcheck>"
-msgstr "[B<!>] B<--rcheck>"
-
-#. type: Plain text
-msgid "Check if the source address of the packet is currently in the list."
-msgstr "このパケットの送信元アドレスが現在リストに含まれるかをチェックする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--update>"
-msgstr "[B<!>] B<--update>"
-
-#. type: Plain text
-msgid "Like B<--rcheck>, except it will update the \"last seen\" timestamp if it matches."
-msgstr "B<--rcheck> と同じだが、 このオプションではマッチした場合に \"last seen\" タイムスタンプを更新する。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--remove>"
-msgstr "[B<!>] B<--remove>"
-
-#. type: Plain text
-msgid "Check if the source address of the packet is currently in the list and if so that address will be removed from the list and the rule will return true. If the address is not found, false is returned."
-msgstr "パケットの送信元アドレスが現在リストに含まれているかをチェックし、 含まれている場合、そのアドレスをリストから削除し、ルールは true を返す。 アドレスが含まれない場合、false を返す。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--seconds> I<seconds>"
-msgstr "B<--seconds> I<seconds>"
-
-#. type: Plain text
-msgid "This option must be used in conjunction with one of B<--rcheck> or B<--update>. When used, this will narrow the match to only happen when the address is in the list and was seen within the last given number of seconds."
-msgstr "このオプションは B<--rcheck> か B<--update> との組み合わせでのみ使用できる。 使用された場合、 アドレスがリストに含まれ、かつそのアドレスが直近の指定された秒数以内に観測された場合にのみ、 マッチするようになる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--reap>"
-msgstr "B<--reap>"
-
-#. type: Plain text
-msgid "This option can only be used in conjunction with B<--seconds>. When used, this will cause entries older than the last given number of seconds to be purged."
-msgstr "このオプションは B<--seconds> との組み合わせでのみ使用できる。 使用された場合、 最後に指定された秒数より古いエントリーを破棄する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hitcount> I<hits>"
-msgstr "B<--hitcount> I<hits>"
-
-#. type: Plain text
-msgid "This option must be used in conjunction with one of B<--rcheck> or B<--update>. When used, this will narrow the match to only happen when the address is in the list and packets had been received greater than or equal to the given value. This option may be used along with B<--seconds> to create an even narrower match requiring a certain number of hits within a specific time frame. The maximum value for the hitcount parameter is given by the \"ip_pkt_list_tot\" parameter of the xt_recent kernel module. Exceeding this value on the command line will cause the rule to be rejected."
-msgstr "このオプションは B<--rcheck> か B<--update> との組み合わせて使用しなければならない。 使用された場合、 アドレスがリストに含まれ、受信されたパケット数が指定した値以上の場合にのみマッチするようになる。 このオプションは B<--seconds> と共に使用することもでき、 その場合は指定された時間内のヒット数に対して照合を行う。 hitcount パラメータの最大値は xt_recent カーネルモードの \"ip_pkt_list_tot\" パラメータで規定される。 このコマンドリストでこの値よりも大きな値を指定すると、そのルールは拒否される。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--rttl>"
-msgstr "B<--rttl>"
-
-#. type: Plain text
-msgid "This option may only be used in conjunction with one of B<--rcheck> or B<--update>. When used, this will narrow the match to only happen when the address is in the list and the TTL of the current packet matches that of the packet which hit the B<--set> rule. This may be useful if you have problems with people faking their source address in order to DoS you via this module by disallowing others access to your site by sending bogus packets to you."
-msgstr "このオプションは B<--rcheck> か B<--update> との組み合わせでのみ使用できる。 使用された場合、 アドレスがリストに含まれ、かつ現在のパケットの TTL が B<--set> ルールにヒットしたパケットの TTL にマッチする場合にのみマッチするようになる。 このオプションは、 送信元アドレスを偽装する人が偽りのパケットを送信して、このモジュールを使ってあなたのサイトへの他のアクセスができないようにする DoS 攻撃がある場合などに役に立つかもしれない。"
-
-#. type: Plain text
-msgid "iptables -A FORWARD -m recent --name badguy --rcheck --seconds 60 -j DROP"
-msgstr "iptables -A FORWARD -m recent --name badguy --rcheck --seconds 60 -j DROP"
-
-#. type: Plain text
-msgid "iptables -A FORWARD -p tcp -i eth0 --dport 139 -m recent --name badguy --set -j DROP"
-msgstr "iptables -A FORWARD -p tcp -i eth0 --dport 139 -m recent --name badguy --set -j DROP"
-
-#. type: Plain text
-msgid "B</proc/net/xt_recent/*> are the current lists of addresses and information about each entry of each list."
-msgstr "B</proc/net/xt_recent/*> は現在のアドレスのリストと各リストの各エントリーの情報である。"
-
-#. type: Plain text
-msgid "Each file in B</proc/net/xt_recent/> can be read from to see the current list or written two using the following commands to modify the list:"
-msgstr "B</proc/net/xt_recent/> の各ファイルは、読み出して現在のリストを確認することができる。 また、以下のコマンドを使って、 これらのファイルに書き込んでリストを変更することができる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<echo +>I<addr>B< E<gt>/proc/net/xt_recent/DEFAULT>"
-msgstr "B<echo +>I<addr>B< E<gt>/proc/net/xt_recent/DEFAULT>"
-
-#. type: Plain text
-msgid "to add I<addr> to the DEFAULT list"
-msgstr "DEFAULT リストに I<addr> を追加する"
-
-#. type: TP
-#, no-wrap
-msgid "B<echo ->I<addr>B< E<gt>/proc/net/xt_recent/DEFAULT>"
-msgstr "B<echo ->I<addr>B< E<gt>/proc/net/xt_recent/DEFAULT>"
-
-#. type: Plain text
-msgid "to remove I<addr> from the DEFAULT list"
-msgstr "DEFAULT リストから I<addr> を削除する"
-
-#. type: TP
-#, no-wrap
-msgid "B<echo / E<gt>/proc/net/xt_recent/DEFAULT>"
-msgstr "B<echo / E<gt>/proc/net/xt_recent/DEFAULT>"
-
-#. type: Plain text
-msgid "to flush the DEFAULT list (remove all entries)."
-msgstr "DEFAULT リストをフラッシュ (全エントリーを削除) する"
-
-#. type: Plain text
-msgid "The module itself accepts parameters, defaults shown:"
-msgstr "モジュール自体もパラメーターを取り、デフォルトは以下の通りである。"
-
-#. type: TP
-#, no-wrap
-msgid "B<ip_list_tot>=I<100>"
-msgstr "B<ip_list_tot>=I<100>"
-
-#. type: Plain text
-msgid "Number of addresses remembered per table."
-msgstr "テーブル単位の記録アドレス数。"
-
-#. type: TP
-#, no-wrap
-msgid "B<ip_pkt_list_tot>=I<20>"
-msgstr "B<ip_pkt_list_tot>=I<20>"
-
-#. type: Plain text
-msgid "Number of packets per address remembered."
-msgstr "アドレス単位の記録パケット数。"
-
-#. type: TP
-#, no-wrap
-msgid "B<ip_list_hash_size>=I<0>"
-msgstr "B<ip_list_hash_size>=I<0>"
-
-#. type: Plain text
-msgid "Hash table size. 0 means to calculate it based on ip_list_tot, default: 512."
-msgstr "ハッシュテーブルサイズ。 0 は ip_list_tot に基づいて計算することを意味する。 デフォルトは 512。"
-
-#. type: TP
-#, no-wrap
-msgid "B<ip_list_perms>=I<0644>"
-msgstr "B<ip_list_perms>=I<0644>"
-
-#. type: Plain text
-msgid "Permissions for /proc/net/xt_recent/* files."
-msgstr "/proc/net/xt_recent/* ファイルのアクセス許可モード。"
-
-#. type: TP
-#, no-wrap
-msgid "B<ip_list_uid>=I<0>"
-msgstr "B<ip_list_uid>=I<0>"
-
-#. type: Plain text
-msgid "Numerical UID for ownership of /proc/net/xt_recent/* files."
-msgstr "/proc/net/xt_recent/* ファイルの数値 ID での所有者。"
-
-#. type: TP
-#, no-wrap
-msgid "B<ip_list_gid>=I<0>"
-msgstr "B<ip_list_gid>=I<0>"
-
-#. type: Plain text
-msgid "Numerical GID for ownership of /proc/net/xt_recent/* files."
-msgstr "/proc/net/xt_recent/* ファイルの数値 ID でのグループ所有者。"
-
-#. type: SS
-#, no-wrap
-msgid "rpfilter"
-msgstr "rpfilter"
-
-#. type: Plain text
-msgid "Performs a reverse path filter test on a packet. If a reply to the packet would be sent via the same interface that the packet arrived on, the packet will match. Note that, unlike the in-kernel rp_filter, packets protected by IPSec are not treated specially. Combine this match with the policy match if you want this. Also, packets arriving via the loopback interface are always permitted. This match can only be used in the PREROUTING chain of the raw or mangle table."
-msgstr "パケットに対して reverse path フィルターテストを行う。 パケットに対する応答がパケットが到着したインターフェースと同じインターフェースから送信される場合、そのパケットにマッチする。 カーネル内の rp_filter と異なり、 IPsec で保護されたパケットが特別扱いされない点に注意すること。 必要な場合は、このマッチをポリシーマッチと組み合わせて使うこと。 また、ループバックインターフェース経由で到着したパケットは常に許可される。 このマッチは raw テーブルまたは mangle テーブルの PREROUTING チェインでのみ使用できる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--loose>"
-msgstr "B<--loose>"
-
-#. type: Plain text
-msgid "Used to specifiy that the reverse path filter test should match even if the selected output device is not the expected one."
-msgstr "選択された出力デバイスが期待されたものではない場合であっても、 reverse path フィルターテストのマッチを行うことを指示する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--validmark>"
-msgstr "B<--validmark>"
-
-#. type: Plain text
-msgid "Also use the packets' nfmark value when performing the reverse path route lookup."
-msgstr "reverse path の経路検索実行時にそのパケットの nfmark 値も使用する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--accept-local>"
-msgstr "B<--accept-local>"
-
-#. type: Plain text
-msgid "This will permit packets arriving from the network with a source address that is also assigned to the local machine."
-msgstr "ローカルマシンにも割り当てられている送信元アドレスを持つネットワークから到着したパケットを許可する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--invert>"
-msgstr "B<--invert>"
-
-#. type: Plain text
-msgid "This will invert the sense of the match. Instead of matching packets that passed the reverse path filter test, match those that have failed it."
-msgstr "マッチの意味を逆にする。 reverse path フィルターテストに合格したパケットにマッチするのではなく、テストに失敗したパケットにマッチする。"
-
-#. type: Plain text
-msgid "Example to log and drop packets failing the reverse path filter test:"
-msgstr "reverse path フィルターテストに失敗したパケットをロギングし破棄する例"
-
-#. type: Plain text
-msgid "iptables -t raw -N RPFILTER"
-msgstr "iptables -t raw -N RPFILTER"
-
-#. type: Plain text
-msgid "iptables -t raw -A RPFILTER -m rpfilter -j RETURN"
-msgstr "iptables -t raw -A RPFILTER -m rpfilter -j RETURN"
-
-#. type: Plain text
-msgid "iptables -t raw -A RPFILTER -m limit --limit 10/minute -j NFLOG --nflog-prefix \"rpfilter drop\""
-msgstr "iptables -t raw -A RPFILTER -m limit --limit 10/minute -j NFLOG --nflog-prefix \"rpfilter drop\""
-
-#. type: Plain text
-msgid "iptables -t raw -A RPFILTER -j DROP"
-msgstr "iptables -t raw -A RPFILTER -j DROP"
-
-#. type: Plain text
-msgid "iptables -t raw -A PREROUTING -j RPFILTER"
-msgstr "iptables -t raw -A PREROUTING -j RPFILTER"
-
-#. type: Plain text
-msgid "Example to drop failed packets, without logging:"
-msgstr "失敗したパケットをドロップするが、ロギングを行わない例"
-
-#. type: Plain text
-msgid "iptables -t raw -A RPFILTER -m rpfilter --invert -j DROP"
-msgstr "iptables -t raw -A RPFILTER -m rpfilter --invert -j DROP"
-
-#. type: SS
-#, no-wrap
-msgid "rt (IPv6-specific)"
-msgstr "rt (IPv6 のみ)"
-
-#. type: Plain text
-msgid "Match on IPv6 routing header"
-msgstr "IPv6 ルーティングヘッダーに対してマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--rt-type> I<type>"
-msgstr "[B<!>] B<--rt-type> I<type>"
-
-#. type: Plain text
-msgid "Match the type (numeric)."
-msgstr "指定したタイプ (数値) にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--rt-segsleft> I<num>[B<:>I<num>]"
-msgstr "[B<!>] B<--rt-segsleft> I<num>[B<:>I<num>]"
-
-#. type: Plain text
-msgid "Match the `segments left' field (range)."
-msgstr "`segments left' フィールド (範囲) にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--rt-len> I<length>"
-msgstr "[B<!>] B<--rt-len> I<length>"
-
-#. type: Plain text
-msgid "Match the length of this header."
-msgstr "このヘッダーの長さにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--rt-0-res>"
-msgstr "B<--rt-0-res>"
-
-#. type: Plain text
-msgid "Match the reserved field, too (type=0)"
-msgstr "予約フィールド (type=0) にもマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--rt-0-addrs> I<addr>[B<,>I<addr>...]"
-msgstr "B<--rt-0-addrs> I<addr>[B<,>I<addr>...]"
-
-#. type: Plain text
-msgid "Match type=0 addresses (list)."
-msgstr "type=0 のアドレス (リスト) にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--rt-0-not-strict>"
-msgstr "B<--rt-0-not-strict>"
-
-#. type: Plain text
-msgid "List of type=0 addresses is not a strict list."
-msgstr "type=0 のアドレスのリストは厳密なリストではない。"
-
-#. type: SS
-#, no-wrap
-msgid "sctp"
-msgstr "sctp"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--chunk-types> {B<all>|B<any>|B<only>} I<chunktype>[B<:>I<flags>] [...]"
-msgstr "[B<!>] B<--chunk-types> {B<all>|B<any>|B<only>} I<chunktype>[B<:>I<flags>] [...]"
-
-#. type: Plain text
-msgid "The flag letter in upper case indicates that the flag is to match if set, in the lower case indicates to match if unset."
-msgstr "大文字のフラグ文字はそのフラグがセットされている場合にマッチし、 小文字のフラグ文字はセットされていない場合にマッチすることを指示する。"
-
-#. type: Plain text
-msgid "Chunk types: DATA INIT INIT_ACK SACK HEARTBEAT HEARTBEAT_ACK ABORT SHUTDOWN SHUTDOWN_ACK ERROR COOKIE_ECHO COOKIE_ACK ECN_ECNE ECN_CWR SHUTDOWN_COMPLETE ASCONF ASCONF_ACK FORWARD_TSN"
-msgstr "チャンク種別: DATA INIT INIT_ACK SACK HEARTBEAT HEARTBEAT_ACK ABORT SHUTDOWN SHUTDOWN_ACK ERROR COOKIE_ECHO COOKIE_ACK ECN_ECNE ECN_CWR SHUTDOWN_COMPLETE ASCONF ASCONF_ACK FORWARD_TSN"
-
-#. type: Plain text
-msgid "chunk type available flags"
-msgstr "チャンク種別で利用可能なフラグ"
-
-#. type: Plain text
-msgid "DATA I U B E i u b e"
-msgstr "DATA I U B E i u b e"
-
-#. type: Plain text
-msgid "ABORT T t"
-msgstr "ABORT T t"
-
-#. type: Plain text
-msgid "SHUTDOWN_COMPLETE T t"
-msgstr "SHUTDOWN_COMPLETE T t"
-
-#. type: Plain text
-msgid "(lowercase means flag should be \"off\", uppercase means \"on\")"
-msgstr "(小文字はフラグを「オフ」にすることを、大文字は「オン」にすることを意味する)"
-
-#. type: Plain text
-msgid "iptables -A INPUT -p sctp --dport 80 -j DROP"
-msgstr "iptables -A INPUT -p sctp --dport 80 -j DROP"
-
-#. type: Plain text
-msgid "iptables -A INPUT -p sctp --chunk-types any DATA,INIT -j DROP"
-msgstr "iptables -A INPUT -p sctp --chunk-types any DATA,INIT -j DROP"
-
-#. type: Plain text
-msgid "iptables -A INPUT -p sctp --chunk-types any DATA:Be -j ACCEPT"
-msgstr "iptables -A INPUT -p sctp --chunk-types any DATA:Be -j ACCEPT"
-
-#. type: SS
-#, no-wrap
-msgid "set"
-msgstr "set"
-
-#. type: Plain text
-msgid "This module matches IP sets which can be defined by ipset(8)."
-msgstr "このモジュールは B<ipsec>(8) で定義できる IP 集合にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--match-set> I<setname> I<flag>[B<,>I<flag>]..."
-msgstr "[B<!>] B<--match-set> I<setname> I<flag>[B<,>I<flag>]..."
-
-#. type: Plain text
-msgid "where flags are the comma separated list of B<src> and/or B<dst> specifications and there can be no more than six of them. Hence the command"
-msgstr ""
-
-#. type: Plain text
-#, no-wrap
-msgid " iptables -A FORWARD -m set --match-set test src,dst\n"
-msgstr " iptables -A FORWARD -m set --match-set test src,dst\n"
-
-#. type: Plain text
-msgid "will match packets, for which (if the set type is ipportmap) the source address and destination port pair can be found in the specified set. If the set type of the specified set is single dimension (for example ipmap), then the command will match packets for which the source address can be found in the specified set."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--return-nomatch>"
-msgstr "B<--return-nomatch>"
-
-#. type: Plain text
-msgid "If the B<--return-nomatch> option is specified and the set type supports the B<nomatch> flag, then the matching is reversed: a match with an element flagged with B<nomatch> returns B<true>, while a match with a plain element returns B<false>."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<!> B<--update-counters>"
-msgstr "B<!> B<--update-counters>"
-
-#. type: Plain text
-msgid "If the B<--update-counters> flag is negated, then the packet and byte counters of the matching element in the set won't be updated. Default the packet and byte counters are updated."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<!> B<--update-subcounters>"
-msgstr "B<!> B<--update-subcounters>"
-
-#. type: Plain text
-msgid "If the B<--update-subcounters> flag is negated, then the packet and byte counters of the matching element in the member set of a list type of set won't be updated. Default the packet and byte counters are updated."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--packets-eq> I<value>"
-msgstr "[B<!>] B<--packets-eq> I<value>"
-
-#. type: Plain text
-msgid "If the packet is matched an element in the set, match only if the packet counter of the element matches the given value too."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--packets-lt> I<value>"
-msgstr "B<--packets-lt> I<value>"
-
-#. type: Plain text
-msgid "If the packet is matched an element in the set, match only if the packet counter of the element is less than the given value as well."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--packets-gt> I<value>"
-msgstr "B<--packets-gt> I<value>"
-
-#. type: Plain text
-msgid "If the packet is matched an element in the set, match only if the packet counter of the element is greater than the given value as well."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<-bytes-eq> I<value>"
-msgstr "[B<!>] B<-bytes-eq> I<value>"
-
-#. type: Plain text
-msgid "If the packet is matched an element in the set, match only if the byte counter of the element matches the given value too."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--bytes-lt> I<value>"
-msgstr "B<--bytes-lt> I<value>"
-
-#. type: Plain text
-msgid "If the packet is matched an element in the set, match only if the byte counter of the element is less than the given value as well."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--bytes-gt> I<value>"
-msgstr "B<--bytes-gt> I<value>"
-
-#. type: Plain text
-msgid "If the packet is matched an element in the set, match only if the byte counter of the element is greater than the given value as well."
-msgstr ""
-
-#. type: Plain text
-msgid "The packet and byte counters related options and flags are ignored when the set was defined without counter support."
-msgstr ""
-
-#. type: Plain text
-msgid "The option B<--match-set> can be replaced by B<--set> if that does not clash with an option of other extensions."
-msgstr ""
-
-#. type: Plain text
-msgid "Use of -m set requires that ipset kernel support is provided, which, for standard kernels, is the case since Linux 2.6.39."
-msgstr ""
-
-#. type: SS
-#, no-wrap
-msgid "socket"
-msgstr "socket"
-
-#. type: Plain text
-msgid "This matches if an open TCP/UDP socket can be found by doing a socket lookup on the packet. It matches if there is an established or non-zero bound listening socket (possibly with a non-local address). The lookup is performed using the B<packet> tuple of TCP/UDP packets, or the original TCP/UDP header B<embedded> in an ICMP/ICPMv6 error packet."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--transparent>"
-msgstr "B<--transparent>"
-
-#. type: Plain text
-msgid "Ignore non-transparent sockets."
-msgstr "非透過 (non-transparent) ソケットを無視する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--nowildcard>"
-msgstr "B<--nowildcard>"
-
-#. type: Plain text
-msgid "Do not ignore sockets bound to 'any' address. The socket match won't accept zero-bound listeners by default, since then local services could intercept traffic that would otherwise be forwarded. This option therefore has security implications when used to match traffic being forwarded to redirect such packets to local machine with policy routing. When using the socket match to implement fully transparent proxies bound to non-local addresses it is recommended to use the --transparent option instead."
-msgstr ""
-
-#. type: Plain text
-msgid "Example (assuming packets with mark 1 are delivered locally):"
-msgstr ""
-
-#. type: Plain text
-msgid "-t mangle -A PREROUTING -m socket --transparent -j MARK --set-mark 1"
-msgstr "-t mangle -A PREROUTING -m socket --transparent -j MARK --set-mark 1"
-
-#. type: SS
-#, no-wrap
-msgid "state"
-msgstr "state"
-
-#. type: Plain text
-msgid "The \"state\" extension is a subset of the \"conntrack\" module. \"state\" allows access to the connection tracking state for this packet."
-msgstr "\"state\" 拡張は \"conntrack\" モジュールのサブセットである。 \"state\" を使うと、 パケットについてのコネクション追跡状態を参照できる。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--state> I<state>"
-msgstr "[B<!>] B<--state> I<state>"
-
-#. type: Plain text
-msgid "Where state is a comma separated list of the connection states to match. Only a subset of the states unterstood by \"conntrack\" are recognized: B<INVALID>, B<ESTABLISHED>, B<NEW>, B<RELATED> or B<UNTRACKED>. For their description, see the \"conntrack\" heading in this manpage."
-msgstr "state はマッチするコネクション状態のカンマ区切りのリストである。 \"conntrack\" が理解できる状態の一部だけが指定できる。 指定できるのは B<INVALID>, B<ESTABLISHED>, B<NEW>, B<RELATED>, B<UNTRACKED> である。 これらの説明はこのマニュアルページの \"conntrack\" の説明を参照のこと。"
-
-#. type: SS
-#, no-wrap
-msgid "statistic"
-msgstr "statistic"
-
-#. type: Plain text
-msgid "This module matches packets based on some statistic condition. It supports two distinct modes settable with the B<--mode> option."
-msgstr "このモジュールは統計的な条件に基づいたパケットのマッチングを行う。 二つのモードがサポートされており、 B<--mode> オプションで設定できる。"
-
-#. type: Plain text
-msgid "Supported options:"
-msgstr "サポートされているオプション:"
-
-#. type: TP
-#, no-wrap
-msgid "B<--mode> I<mode>"
-msgstr "B<--mode> I<mode>"
-
-#. type: Plain text
-msgid "Set the matching mode of the matching rule, supported modes are B<random> and B<nth.>"
-msgstr "マッチングルールのマッチングモードを設定する。 サポートされているモードは B<random> と B<nth> である。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--probability> I<p>"
-msgstr "[B<!>] B<--probability> I<p>"
-
-#. type: Plain text
-msgid "Set the probability for a packet to be randomly matched. It only works with the B<random> mode. I<p> must be within 0.0 and 1.0. The supported granularity is in 1/2147483648th increments."
-msgstr "ランダムにパケットがマッチする確率を設定する。 B<random> モードでのみ機能する。 I<p> は 0.0 と 1.0 の範囲でなければならない。 サポートされている粒度は 1/2147483648 である。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--every> I<n>"
-msgstr "[B<!>] B<--every> I<n>"
-
-#. type: Plain text
-msgid "Match one packet every nth packet. It works only with the B<nth> mode (see also the B<--packet> option)."
-msgstr "n パケットに 1 つマッチする。 B<nth> モードでのみ機能する (B<--packet> オプションも参照)。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--packet> I<p>"
-msgstr "B<--packet> I<p>"
-
-#. type: Plain text
-msgid "Set the initial counter value (0 E<lt>= p E<lt>= n-1, default 0) for the B<nth> mode."
-msgstr "B<nth> モードでカウンターの初期値を設定する (0 E<lt>= p E<lt>= n-1, デフォルトは 0)。"
-
-#. type: SS
-#, no-wrap
-msgid "string"
-msgstr "string"
-
-#. type: Plain text
-msgid "This modules matches a given string by using some pattern matching strategy. It requires a linux kernel E<gt>= 2.6.14."
-msgstr "このモジュールは、いくつかのパターンマッチ手法を用いて指定された文字列とのマッチを行う。 Linux カーネル 2.6.14 以上が必要である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--algo> {B<bm>|B<kmp>}"
-msgstr "B<--algo> {B<bm>|B<kmp>}"
-
-#. type: Plain text
-msgid "Select the pattern matching strategy. (bm = Boyer-Moore, kmp = Knuth-Pratt-Morris)"
-msgstr "パターンマッチング手法を選択する (bm = Boyer-Moore, kmp = Knuth-Pratt-Morris)"
-
-#. type: TP
-#, no-wrap
-msgid "B<--from> I<offset>"
-msgstr "B<--from> I<offset>"
-
-#. type: Plain text
-msgid "Set the offset from which it starts looking for any matching. If not passed, default is 0."
-msgstr "マッチングの検索を開始するオフセットを設定する。 指定されなかった場合のデフォルトは 0 である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--to> I<offset>"
-msgstr "B<--to> I<offset>"
-
-#. type: Plain text
-msgid "Set the offset up to which should be scanned. That is, byte I<offset>-1 (counting from 0) is the last one that is scanned. If not passed, default is the packet size."
-msgstr "検索を終了するオフセットを設定する。 バイト I<offset>-1 (バイト番号は 0 から開始) が検索範囲の最終バイトとなる。 指定されなかった場合、デフォルトはパケットサイズである。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--string> I<pattern>"
-msgstr "[B<!>] B<--string> I<pattern>"
-
-#. type: Plain text
-msgid "Matches the given pattern."
-msgstr "指定されたパターンにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--hex-string> I<pattern>"
-msgstr "[B<!>] B<--hex-string> I<pattern>"
-
-#. type: Plain text
-msgid "Matches the given pattern in hex notation."
-msgstr "指定された 16 進表記のパターンにマッチする。"
-
-#. type: Plain text
-msgid "# The string pattern can be used for simple text characters."
-msgstr "# 文字列パターンは単純なテキスト文字を探すのに使用できる。"
-
-#. type: Plain text
-msgid "iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string 'GET /index.html' -j LOG"
-msgstr "iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string 'GET /index.html' -j LOG"
-
-#. type: Plain text
-msgid "# The hex string pattern can be used for non-printable characters, like |0D 0A| or |0D0A|."
-msgstr "16 進数文字列のパターンは表示可能文字以外を検索するのに使用できる。 |0D 0A| や |0D0A| など。"
-
-#. type: Plain text
-msgid "iptables -p udp --dport 53 -m string --algo bm --from 40 --to 57 --hex-string '|03|www|09|netfilter|03|org|00|'"
-msgstr "iptables -p udp --dport 53 -m string --algo bm --from 40 --to 57 --hex-string '|03|www|09|netfilter|03|org|00|'"
-
-#. type: SS
-#, no-wrap
-msgid "tcp"
-msgstr "tcp"
-
-#. type: Plain text
-msgid "These extensions can be used if `--protocol tcp' is specified. It provides the following options:"
-msgstr "これらの拡張は `--protocol tcp' が指定され場合に使用できる。 以下のオプションが提供される:"
-
-#. type: Plain text
-msgid "Source port or port range specification. This can either be a service name or a port number. An inclusive range can also be specified, using the format I<first>B<:>I<last>. If the first port is omitted, \"0\" is assumed; if the last is omitted, \"65535\" is assumed. If the first port is greater than the second one they will be swapped. The flag B<--sport> is a convenient alias for this option."
-msgstr "送信元ポートまたはポート範囲の指定。 サービス名またはポート番号を指定できる。 I<first>B<:>I<last> という形式で、 2 つの番号を含む範囲を指定することもできる。 最初のポートを省略した場合、 \"0\" を仮定する。 最後のポートを省略した場合、 \"65535\" を仮定する。 最初のポートが最後のポートより大きい場合、 2 つは入れ換えられる。 フラグ B<--sport> は、 このオプションの便利な別名である。"
-
-#. type: Plain text
-msgid "Destination port or port range specification. The flag B<--dport> is a convenient alias for this option."
-msgstr "宛先ポートまたはポート範囲の指定。 フラグ B<--dport> は、 このオプションの便利な別名である。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--tcp-flags> I<mask> I<comp>"
-msgstr "[B<!>] B<--tcp-flags> I<mask> I<comp>"
-
-#. type: Plain text
-msgid "Match when the TCP flags are as specified. The first argument I<mask> is the flags which we should examine, written as a comma-separated list, and the second argument I<comp> is a comma-separated list of flags which must be set. Flags are: B<SYN ACK FIN RST URG PSH ALL NONE>. Hence the command"
-msgstr "TCP フラグが指定されたものと等しい場合にマッチする。 第 1 引き数 I<mask> は評価対象とするフラグで、 コンマ区切りのリストである。 第 2 引き数 I<comp> は必ず設定しなければならないフラグで、 コンマ区切りのリストである。 指定できるフラグは B<SYN ACK FIN RST URG PSH ALL NONE> である。 よって、 コマンド"
-
-#. type: Plain text
-#, no-wrap
-msgid " iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN\n"
-msgstr " iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN\n"
-
-#. type: Plain text
-msgid "will only match packets with the SYN flag set, and the ACK, FIN and RST flags unset."
-msgstr "は、 SYN フラグが設定され ACK, FIN, RST フラグが設定されていない パケットにのみマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--syn>"
-msgstr "[B<!>] B<--syn>"
-
-#. type: Plain text
-msgid "Only match TCP packets with the SYN bit set and the ACK,RST and FIN bits cleared. Such packets are used to request TCP connection initiation; for example, blocking such packets coming in an interface will prevent incoming TCP connections, but outgoing TCP connections will be unaffected. It is equivalent to B<--tcp-flags SYN,RST,ACK,FIN SYN>. If the \"!\" flag precedes the \"--syn\", the sense of the option is inverted."
-msgstr ""
-"SYN ビットが設定され ACK, RST, FIN ビットがクリアされている TCP パケットにのみマッチする。 このようなパケットは TCP コネクションの開始要求に使われる。 例えば、 あるインターフェースに入ってくるこのようなパケットをブロックすれば、 内側への TCP コネクションは禁止されるが、 外側への TCP コネクションには影響しない。 これは B<--tcp-flags SYN,RST,ACK,FIN SYN> と等しい。 \"--syn\" の前に \"!\" フラグ\n"
-"を置くと、 SYN ビットがクリアされ ACK と RST ビットが設定されている\n"
-"TCP パケットにのみマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--tcp-option> I<number>"
-msgstr "[B<!>] B<--tcp-option> I<number>"
-
-#. type: Plain text
-msgid "Match if TCP option set."
-msgstr "TCP オプションが設定されている場合にマッチする。"
-
-#. type: SS
-#, no-wrap
-msgid "tcpmss"
-msgstr "tcpmss"
-
-#. type: Plain text
-msgid "This matches the TCP MSS (maximum segment size) field of the TCP header. You can only use this on TCP SYN or SYN/ACK packets, since the MSS is only negotiated during the TCP handshake at connection startup time."
-msgstr "TCP ヘッダーの TCP MSS (maximum segment size) フィールドにマッチする。 TCP の SYN パケットか SYN/ACK パケットに対してのみ利用できる。 MSS のネゴシエーションはコネクション開始時の TCP ハンドシェイク中だけだからである。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--mss> I<value>[B<:>I<value>]"
-msgstr "[B<!>] B<--mss> I<value>[B<:>I<value>]"
-
-#. type: Plain text
-msgid "Match a given TCP MSS value or range."
-msgstr "指定された TCP MSS 値か範囲にマッチする。"
-
-#. type: SS
-#, no-wrap
-msgid "time"
-msgstr "time"
-
-#. type: Plain text
-msgid "This matches if the packet arrival time/date is within a given range. All options are optional, but are ANDed when specified. All times are interpreted as UTC by default."
-msgstr "このモジュールはパケットの到着時刻/日付が指定された範囲内の場合にマッチする。 すべてのオプションが任意オプションで、 複数指定した場合は AND と解釈される。 デフォルトではすべての時刻は UTC と解釈される。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--datestart> I<YYYY>[B<->I<MM>[B<->I<DD>[B<T>I<hh>[B<:>I<mm>[B<:>I<ss>]]]]]"
-msgstr "B<--datestart> I<YYYY>[B<->I<MM>[B<->I<DD>[B<T>I<hh>[B<:>I<mm>[B<:>I<ss>]]]]]"
-
-#. type: TP
-#, no-wrap
-msgid "B<--datestop> I<YYYY>[B<->I<MM>[B<->I<DD>[B<T>I<hh>[B<:>I<mm>[B<:>I<ss>]]]]]"
-msgstr "B<--datestop> I<YYYY>[B<->I<MM>[B<->I<DD>[B<T>I<hh>[B<:>I<mm>[B<:>I<ss>]]]]]"
-
-#. type: Plain text
-msgid "Only match during the given time, which must be in ISO 8601 \"T\" notation. The possible time range is 1970-01-01T00:00:00 to 2038-01-19T04:17:07."
-msgstr "指定された時刻 (日付も含む) の範囲にある場合にマッチする。 時刻は ISO 8601 \"T\" 表記でなければならない。 指定可能な範囲は 1970-01-01T00:00:00 から 2038-01-19T04:17:07 である。"
-
-#. type: Plain text
-msgid "If --datestart or --datestop are not specified, it will default to 1970-01-01 and 2038-01-19, respectively."
-msgstr "--datestart と --datestop は、指定されなかった場合、それぞれ 1970-01-01 と 2038-01-19 とみなされます。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--timestart> I<hh>B<:>I<mm>[B<:>I<ss>]"
-msgstr "B<--timestart> I<hh>B<:>I<mm>[B<:>I<ss>]"
-
-#. type: TP
-#, no-wrap
-msgid "B<--timestop> I<hh>B<:>I<mm>[B<:>I<ss>]"
-msgstr "B<--timestop> I<hh>B<:>I<mm>[B<:>I<ss>]"
-
-#. type: Plain text
-msgid "Only match during the given daytime. The possible time range is 00:00:00 to 23:59:59. Leading zeroes are allowed (e.g. \"06:03\") and correctly interpreted as base-10."
-msgstr "指定された時刻 (日付は含まない) の範囲にある場合にマッチする。 指定可能な範囲は 00:00:00 から 23:59:59 である。 (\"06:03\" のように) 先頭に 0 を付けてもよい。 この場合も 10 進数として正しく解釈される。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--monthdays> I<day>[B<,>I<day>...]"
-msgstr "[B<!>] B<--monthdays> I<day>[B<,>I<day>...]"
-
-#. type: Plain text
-msgid "Only match on the given days of the month. Possible values are B<1> to B<31>. Note that specifying B<31> will of course not match on months which do not have a 31st day; the same goes for 28- or 29-day February."
-msgstr "指定された月の日付にマッチする。 指定可能な値は B<1> から B<31> である。 もちろん B<31> を指定した場合 31 日がない月ではマッチしない。 同じことが 2 月 29 日についても言える。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--weekdays> I<day>[B<,>I<day>...]"
-msgstr "[B<!>] B<--weekdays> I<day>[B<,>I<day>...]"
-
-#. type: Plain text
-msgid "Only match on the given weekdays. Possible values are B<Mon>, B<Tue>, B<Wed>, B<Thu>, B<Fri>, B<Sat>, B<Sun>, or values from B<1> to B<7>, respectively. You may also use two-character variants (B<Mo>, B<Tu>, etc.)."
-msgstr "指定した曜日にマッチする。 指定可能な値は B<Mon>, B<Tue>, B<Wed>, B<Thu>, B<Fri>, B<Sat>, B<Sun> および B<1> から B<7> の値である。 また、2 文字の曜日指定 (B<Mo>, B<Tu> など) も使用できる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--contiguous>"
-msgstr "B<--contiguous>"
-
-#. type: Plain text
-msgid "When B<--timestop> is smaller than B<--timestart> value, match this as a single time period instead distinct intervals. See EXAMPLES."
-msgstr "B<--timestop> が B<--timestart> よりも小さい場合、複数の期間ではなく、一つの時間帯としてマッチするようにする。 例を参照。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--kerneltz>"
-msgstr "B<--kerneltz>"
-
-#. type: Plain text
-msgid "Use the kernel timezone instead of UTC to determine whether a packet meets the time regulations."
-msgstr "パケットが時刻指定にマッチするかを判定する際に UTC ではなくカーネルタイムゾーンを使用する。"
-
-#. type: Plain text
-msgid "About kernel timezones: Linux keeps the system time in UTC, and always does so. On boot, system time is initialized from a referential time source. Where this time source has no timezone information, such as the x86 CMOS RTC, UTC will be assumed. If the time source is however not in UTC, userspace should provide the correct system time and timezone to the kernel once it has the information."
-msgstr ""
-
-#. type: Plain text
-msgid "Local time is a feature on top of the (timezone independent) system time. Each process has its own idea of local time, specified via the TZ environment variable. The kernel also has its own timezone offset variable. The TZ userspace environment variable specifies how the UTC-based system time is displayed, e.g. when you run date(1), or what you see on your desktop clock. The TZ string may resolve to different offsets at different dates, which is what enables the automatic time-jumping in userspace. when DST changes. The kernel's timezone offset variable is used when it has to convert between non-UTC sources, such as FAT filesystems, to UTC (since the latter is what the rest of the system uses)."
-msgstr ""
-
-#. type: Plain text
-msgid "The caveat with the kernel timezone is that Linux distributions may ignore to set the kernel timezone, and instead only set the system time. Even if a particular distribution does set the timezone at boot, it is usually does not keep the kernel timezone offset - which is what changes on DST - up to date. ntpd will not touch the kernel timezone, so running it will not resolve the issue. As such, one may encounter a timezone that is always +0000, or one that is wrong half of the time of the year. As such, B<using --kerneltz is highly discouraged.>"
-msgstr ""
-
-#. type: Plain text
-msgid "EXAMPLES. To match on weekends, use:"
-msgstr "例をいくつか。 週末にマッチさせる場合:"
-
-#. type: Plain text
-msgid "-m time --weekdays Sa,Su"
-msgstr "-m time --weekdays Sa,Su"
-
-#. type: Plain text
-msgid "Or, to match (once) on a national holiday block:"
-msgstr "国の祝日に (一度だけ) マッチさせる場合:"
-
-#. type: Plain text
-msgid "-m time --datestart 2007-12-24 --datestop 2007-12-27"
-msgstr "-m time --datestart 2007-12-24 --datestop 2007-12-27"
-
-#. type: Plain text
-msgid "Since the stop time is actually inclusive, you would need the following stop time to not match the first second of the new day:"
-msgstr "終了時刻も実際には含まれるので、新年の最初の 1 秒にマッチしないように終了時刻を以下のように指定する必要がある:"
-
-#. type: Plain text
-msgid "-m time --datestart 2007-01-01T17:00 --datestop 2007-01-01T23:59:59"
-msgstr "-m time --datestart 2007-01-01T17:00 --datestop 2007-01-01T23:59:59"
-
-#. type: Plain text
-msgid "During lunch hour:"
-msgstr "昼御飯の時間帯:"
-
-#. type: Plain text
-msgid "-m time --timestart 12:30 --timestop 13:30"
-msgstr "-m time --timestart 12:30 --timestop 13:30"
-
-#. type: Plain text
-msgid "The fourth Friday in the month:"
-msgstr "第 4 金曜日:"
-
-#. type: Plain text
-msgid "-m time --weekdays Fr --monthdays 22,23,24,25,26,27,28"
-msgstr "-m time --weekdays Fr --monthdays 22,23,24,25,26,27,28"
-
-#. type: Plain text
-msgid "(Note that this exploits a certain mathematical property. It is not possible to say \"fourth Thursday OR fourth Friday\" in one rule. It is possible with multiple rules, though.)"
-msgstr "(これは数学的な性質を利用している点に留意すること。 一つのルールで「第 4 木曜日 または 第 4 金曜日」と指定することはできない。 複数ルールで指定することはできるが。)"
-
-#. type: Plain text
-msgid "Matching across days might not do what is expected. For instance,"
-msgstr "日をまたぐマッチングは期待するようには動かないだろう。例えば、"
-
-#. type: Plain text
-msgid "-m time --weekdays Mo --timestart 23:00 --timestop 01:00 Will match Monday, for one hour from midnight to 1 a.m., and then again for another hour from 23:00 onwards. If this is unwanted, e.g. if you would like 'match for two hours from Montay 23:00 onwards' you need to also specify the --contiguous option in the example above."
-msgstr "-m time --weekdays Mo --timestart 23:00 --timestop 01:00 は、月曜日の 0 時から午前 1 時の 1 時間にマッチし、 その後さらに 23 時からの 1 時間にもマッチする。 これが希望通りでない場合、例えば、月曜日 23 時から 2 時間にマッチさせたい場合は、 上記に追加で --contiguous オプションも指定する必要がある。"
-
-#. type: SS
-#, no-wrap
-msgid "tos"
-msgstr "tos"
-
-#. type: Plain text
-msgid "This module matches the 8-bit Type of Service field in the IPv4 header (i.e. including the \"Precedence\" bits) or the (also 8-bit) Priority field in the IPv6 header."
-msgstr "このモジュールは IPv4 ヘッダーの 8 ビットの Type of Service フィールド (すなわち上位ビットを含まれる) もしくは IPv6 ヘッダーの (8 ビットの) Priority フィールドにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--tos> I<value>[B</>I<mask>]"
-msgstr "[B<!>] B<--tos> I<value>[B</>I<mask>]"
-
-#. type: Plain text
-msgid "Matches packets with the given TOS mark value. If a mask is specified, it is logically ANDed with the TOS mark before the comparison."
-msgstr "指定された TOS マーク値を持つパケットにマッチする。 mask が指定されると、 比較の前に TOS マーク値との論理積 (AND) がとられる)。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--tos> I<symbol>"
-msgstr "[B<!>] B<--tos> I<symbol>"
-
-#. type: Plain text
-msgid "You can specify a symbolic name when using the tos match for IPv4. The list of recognized TOS names can be obtained by calling iptables with B<-m tos -h>. Note that this implies a mask of 0x3F, i.e. all but the ECN bits."
-msgstr ""
-"IPv4 の tos フィールドに対するマッチを指定する際にシンボル名を使うことができる。 iptables を B<-m tos -h> で呼び出すと、利用可能な TOS 名の一覧を得ることができる。\n"
-"シンボル名を使った場合、 mask として 0x3F が使用される (0x3F は ECN ビット以外の全ビットである)。"
-
-#. type: SS
-#, no-wrap
-msgid "ttl (IPv4-specific)"
-msgstr "ttl (IPv4 の場合)"
-
-#. type: Plain text
-msgid "This module matches the time to live field in the IP header."
-msgstr "このモジュールは IP ヘッダーの time to live フィールドにマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--ttl-eq> I<ttl>"
-msgstr "[B<!>] B<--ttl-eq> I<ttl>"
-
-#. type: Plain text
-msgid "Matches the given TTL value."
-msgstr "指定された TTL 値にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--ttl-gt> I<ttl>"
-msgstr "B<--ttl-gt> I<ttl>"
-
-#. type: Plain text
-msgid "Matches if TTL is greater than the given TTL value."
-msgstr "TTL が指定された TTL 値より大きければマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--ttl-lt> I<ttl>"
-msgstr "B<--ttl-lt> I<ttl>"
-
-#. type: Plain text
-msgid "Matches if TTL is less than the given TTL value."
-msgstr "TTL が指定された TTL 値より小さければマッチする。"
-
-#. type: SS
-#, no-wrap
-msgid "u32"
-msgstr "u32"
-
-#. type: Plain text
-msgid "U32 tests whether quantities of up to 4 bytes extracted from a packet have specified values. The specification of what to extract is general enough to find data at given offsets from tcp headers or payloads."
-msgstr "U32 は、パケットから最大 4 バイトの数値を取り出して、指定した値を持つかの検査を行う。 どこを取り出すかの指定は汎用的になっており、TCP ヘッダーやペイロードから指定したオフセットのデータを取り出すことができる。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<--u32> I<tests>"
-msgstr "[B<!>] B<--u32> I<tests>"
-
-#. type: Plain text
-msgid "The argument amounts to a program in a small language described below."
-msgstr "引き数は、以下で説明する小さな言語のプログラムになる。"
-
-#. type: Plain text
-msgid "tests := location \"=\" value | tests \"&&\" location \"=\" value"
-msgstr "tests := location \"=\" value | tests \"&&\" location \"=\" value"
-
-#. type: Plain text
-msgid "value := range | value \",\" range"
-msgstr "value := range | value \",\" range"
-
-#. type: Plain text
-msgid "range := number | number \":\" number"
-msgstr "range := number | number \":\" number"
-
-#. type: Plain text
-msgid "a single number, I<n>, is interpreted the same as I<n:n>. I<n:m> is interpreted as the range of numbers B<E<gt>=n> and B<E<lt>=m>."
-msgstr "数字 1 個 I<n> は I<n:n> と同じものと解釈される。 I<n:m> は B<E<gt>=n> かつ B<E<lt>=m> の範囲の数字と解釈される。"
-
-#. type: Plain text
-msgid "location := number | location operator number"
-msgstr "location := number | location operator number"
-
-#. type: Plain text
-msgid "operator := \"&\" | \"E<lt>E<lt>\" | \"E<gt>E<gt>\" | \"@\""
-msgstr "operator := \"&\" | \"E<lt>E<lt>\" | \"E<gt>E<gt>\" | \"@\""
-
-#. type: Plain text
-msgid "The operators B<&>, B<E<lt>E<lt>>, B<E<gt>E<gt>> and B<&&> mean the same as in C. The B<=> is really a set membership operator and the value syntax describes a set. The B<@> operator is what allows moving to the next header and is described further below."
-msgstr "オペレーター B<&>, B<E<lt>E<lt>>, B<E<gt>E<gt>>, B<&&> は C と同じ意味である。 B<=> は集合の所属を検査するオペレーターで、値は集合として記述する。 B<@> オペレーターは、次のヘッダーへの移動に使うオペレーターで、後で詳しく説明する。"
-
-#. type: Plain text
-msgid "There are currently some artificial implementation limits on the size of the tests:"
-msgstr "現在のところ、テストの大きさにはいくつか実装から来る制約がある。"
-
-#. type: IP
-#, no-wrap
-msgid " *"
-msgstr " *"
-
-#. type: Plain text
-msgid "no more than 10 of \"B<=>\" (and 9 \"B<&&>\"s) in the u32 argument"
-msgstr "u32 引き数あたりの \"B<=>\" は最大 10 個まで (\"B<&&>\" は 9 個まで)"
-
-#. type: Plain text
-msgid "no more than 10 ranges (and 9 commas) per value"
-msgstr "value あたりの range は 10 個まで (カンマは 9 個まで)"
-
-#. type: Plain text
-msgid "no more than 10 numbers (and 9 operators) per location"
-msgstr "一つの location あたりの number は最大 10 個まで (operator は 9 個まで)"
-
-#. type: Plain text
-msgid "To describe the meaning of location, imagine the following machine that interprets it. There are three registers:"
-msgstr "location の意味を説明するために、 location を解釈する以下のようなマシンを考えてみる。 3 つのレジスターがある。"
-
-#. type: Plain text
-msgid "A is of type B<char *>, initially the address of the IP header"
-msgstr "A は B<char *> 型で、最初は IP ヘッダーのアドレスが入っている。"
-
-#. type: Plain text
-msgid "B and C are unsigned 32 bit integers, initially zero"
-msgstr "B と C は 32 ビット整数で、最初は 0 である。"
-
-#. type: Plain text
-msgid "The instructions are:"
-msgstr "命令は以下の通り。"
-
-#. type: Plain text
-msgid "number B = number;"
-msgstr "number B = number;"
-
-#. type: Plain text
-msgid "C = (*(A+B)E<lt>E<lt>24) + (*(A+B+1)E<lt>E<lt>16) + (*(A+B+2)E<lt>E<lt>8) + *(A+B+3)"
-msgstr "C = (*(A+B)E<lt>E<lt>24) + (*(A+B+1)E<lt>E<lt>16) + (*(A+B+2)E<lt>E<lt>8) + *(A+B+3)"
-
-#. type: Plain text
-msgid "&number C = C & number"
-msgstr "&number C = C & number"
-
-#. type: Plain text
-msgid "E<lt>E<lt> number C = C E<lt>E<lt> number"
-msgstr "E<lt>E<lt> number C = C E<lt>E<lt> number"
-
-#. type: Plain text
-msgid "E<gt>E<gt> number C = C E<gt>E<gt> number"
-msgstr "E<gt>E<gt> number C = C E<gt>E<gt> number"
-
-#. type: Plain text
-msgid "@number A = A + C; then do the instruction number"
-msgstr "@number A = A + C; この後、命令の数字を実行する"
-
-#. type: Plain text
-msgid "Any access of memory outside [skb-E<gt>data,skb-E<gt>end] causes the match to fail. Otherwise the result of the computation is the final value of C."
-msgstr "[skb-E<gt>data,skb-E<gt>end] 以外へのメモリアクセスはすべてマッチ失敗となる。 それ以外の場合、計算の結果が C の最終的な値となる。"
-
-#. type: Plain text
-msgid "Whitespace is allowed but not required in the tests. However, the characters that do occur there are likely to require shell quoting, so it is a good idea to enclose the arguments in quotes."
-msgstr "ホワイトスペースを入れることはできるが、テストでは必須ではない。 しただし、テストに含まれる文字はシェルでのクォートが必要な場合もよくあるので、 引き数全体をクォートで囲んでおくとよいだろう。"
-
-#. type: Plain text
-msgid "match IP packets with total length E<gt>= 256"
-msgstr "トータル長が 256 以上の IP パケットにマッチする"
-
-#. type: Plain text
-msgid "The IP header contains a total length field in bytes 2-3."
-msgstr "IP ヘッダーではバイト 2-3 にトータル長フィールドがある。"
-
-#. type: Plain text
-msgid "--u32 \"B<0 & 0xFFFF = 0x100:0xFFFF>\""
-msgstr "--u32 \"B<0 & 0xFFFF = 0x100:0xFFFF>\""
-
-#. type: Plain text
-msgid "read bytes 0-3"
-msgstr "バイト 0-3 を読み出し、"
-
-#. type: Plain text
-msgid "AND that with 0xFFFF (giving bytes 2-3), and test whether that is in the range [0x100:0xFFFF]"
-msgstr "0xFFFF (バイト 2-3 に対応) の論理積 (AND) を取り、 その値が範囲 [0x100:0xFFFF] にあるか検査する。"
-
-#. type: Plain text
-msgid "Example: (more realistic, hence more complicated)"
-msgstr "例: (もっと実用的な、したがってもっと複雑な例)"
-
-#. type: Plain text
-msgid "match ICMP packets with icmp type 0"
-msgstr "ICMP タイプが 0 の ICMP パケットにマッチする"
-
-#. type: Plain text
-msgid "First test that it is an ICMP packet, true iff byte 9 (protocol) = 1"
-msgstr "まず ICMP パケットかどうか検査する。 バイト 9 (プロトコル) = 1 であれば真。"
-
-#. type: Plain text
-msgid "--u32 \"B<6 & 0xFF = 1 &&> ..."
-msgstr "--u32 \"B<6 & 0xFF = 1 &&> ..."
-
-#. type: Plain text
-msgid "read bytes 6-9, use B<&> to throw away bytes 6-8 and compare the result to 1. Next test that it is not a fragment. (If so, it might be part of such a packet but we cannot always tell.) N.B.: This test is generally needed if you want to match anything beyond the IP header. The last 6 bits of byte 6 and all of byte 7 are 0 iff this is a complete packet (not a fragment). Alternatively, you can allow first fragments by only testing the last 5 bits of byte 6."
-msgstr "バイト 6-9 を読み出し、 B<&> を使ってバイト 6-8 を取り除き、 得られた値を 1 と比較する。 次に、フラグメントではないことを検査する (フラグメントの場合、パケットは ICMP パケットの一部かもしれないが、 常にそうだとは言えない)。 B<注意>: 一般的に IP ヘッダーより先にあるものとマッチを行う場合にはこの検査は必要である。 このパケットが (フラグメントではない) 完全なパケットであれば、バイト 6 の最後の 6 ビットとバイト 7 の全ビットが 0 である。 代わりに、 バイト 6 の最後の 5 ビットを検査するだけで最初のフラグメントを許可することができる。"
-
-#. type: Plain text
-msgid "... B<4 & 0x3FFF = 0 &&> ..."
-msgstr "... B<4 & 0x3FFF = 0 &&> ..."
-
-#. type: Plain text
-msgid "Last test: the first byte past the IP header (the type) is 0. This is where we have to use the @syntax. The length of the IP header (IHL) in 32 bit words is stored in the right half of byte 0 of the IP header itself."
-msgstr "最後の検査として、 IP ヘッダー直後のバイト (ICMP タイプ) が 0 かを確認する。 ここで @ 記法を使う必要がある。 IP ヘッダーの長さ (IHL) は IP ヘッダー自身のバイト 0 の右半分に 32 ビットワードで格納されている。"
-
-#. type: Plain text
-msgid "... B<0 E<gt>E<gt> 22 & 0x3C @ 0 E<gt>E<gt> 24 = 0>\""
-msgstr "... B<0 E<gt>E<gt> 22 & 0x3C @ 0 E<gt>E<gt> 24 = 0>\""
-
-#. type: Plain text
-msgid "The first 0 means read bytes 0-3, B<E<gt>E<gt>22> means shift that 22 bits to the right. Shifting 24 bits would give the first byte, so only 22 bits is four times that plus a few more bits. B<&3C> then eliminates the two extra bits on the right and the first four bits of the first byte. For instance, if IHL=5, then the IP header is 20 (4 x 5) bytes long. In this case, bytes 0-1 are (in binary) xxxx0101 yyzzzzzz, B<E<gt>E<gt>22> gives the 10 bit value xxxx0101yy and B<&3C> gives 010100. B<@> means to use this number as a new offset into the packet, and read four bytes starting from there. This is the first 4 bytes of the ICMP payload, of which byte 0 is the ICMP type. Therefore, we simply shift the value 24 to the right to throw out all but the first byte and compare the result with 0."
-msgstr "最初の 0 はバイト 0-3 を読み出し、 B<E<gt>E<gt>22> はその値を 22 ビット右にシフトすることを意味する。 24 ビットシフトすると最初のバイトが得られるので、 22 ビットだけシフトすると (少し余計なビットが付いているが) その 4 倍の値が得られる。 B<&3C> で右側の余計な 2 ビットと最初のバイトの先頭 4 ビットを取り除く。 例えば、 IHL が 5 の場合 IP ヘッダーは 20 バイト (4 x 5) である。 この場合、バイト 0-1 は (バイナリで) xxxx0101 yyzzzzzz であり、 B<E<gt>E<gt>22> により 10 ビットの値 xxxx0101yy が得られ、 B<&3C> で 010100 が得られる。 B<@> は、この数字をパケットの新しいオフセットとして使用し、 この地点から始まる 4 バイトを読み出すことを意味する。 この 4 バイトは ICMP ペイロードの最初の 4 バイトであり、 バイト 0 が ICMP タイプである。 したがって、この値を 24 ビット右にシフトして、最初のバイト以外をすべて取り除き、 その結果を 0 と比較するだけでよい。"
-
-#. type: Plain text
-msgid "TCP payload bytes 8-12 is any of 1, 2, 5 or 8"
-msgstr "TCP ペイロードのバイト 8-12 が 1, 2, 5, 8 のいずれかかを検査する"
-
-#. type: Plain text
-msgid "First we test that the packet is a tcp packet (similar to ICMP)."
-msgstr "まず、パケットが TCP パケットであるかを検査する (ICMP と同様)。"
-
-#. type: Plain text
-msgid "--u32 \"B<6 & 0xFF = 6 &&> ..."
-msgstr "--u32 \"B<6 & 0xFF = 6 &&> ..."
-
-#. type: Plain text
-msgid "Next, test that it is not a fragment (same as above)."
-msgstr "次に、フラグメントでないことを検査する (上記と同じ)。"
-
-#. type: Plain text
-msgid "... B<0 E<gt>E<gt> 22 & 0x3C @ 12 E<gt>E<gt> 26 & 0x3C @ 8 = 1,2,5,8>\""
-msgstr "... B<0 E<gt>E<gt> 22 & 0x3C @ 12 E<gt>E<gt> 26 & 0x3C @ 8 = 1,2,5,8>\""
-
-#. type: Plain text
-msgid "B<0E<gt>E<gt>22&3C> as above computes the number of bytes in the IP header. B<@> makes this the new offset into the packet, which is the start of the TCP header. The length of the TCP header (again in 32 bit words) is the left half of byte 12 of the TCP header. The B<12E<gt>E<gt>26&3C> computes this length in bytes (similar to the IP header before). \"@\" makes this the new offset, which is the start of the TCP payload. Finally, 8 reads bytes 8-12 of the payload and B<=> checks whether the result is any of 1, 2, 5 or 8."
-msgstr "上で説明した通り B<0E<gt>E<gt>22&3C> で IP ヘッダーのバイト数を計算する。 B<@> でこの値をパケットの新しいオフセットとし、これは TCP ヘッダーの先頭である。 TCP ヘッダー長 (これも 32 ビットワード) は TCP ヘッダーのバイト 12 の左半分にある。 B<12E<gt>E<gt>26&3C> で TCP ヘッダーのバイト数を計算する (IP ヘッダーの場合と同様)。 \"@\" を使ってこれを新しいオフセットに設定する。この時点で TCP ペイロードの先頭を指している。 最後に、8 でペイロードのバイト 8-12 を読み出し、 B<=> を使って取り出した値が 1, 2, 5, 8 のいずれかであるかチェックする。"
-
-#. type: SS
-#, no-wrap
-msgid "udp"
-msgstr "udp"
-
-#. type: Plain text
-msgid "These extensions can be used if `--protocol udp' is specified. It provides the following options:"
-msgstr "これらの拡張は `--protocol udp' が指定された場合に利用できる。 以下のオプションが提供される。"
-
-#. type: Plain text
-msgid "Source port or port range specification. See the description of the B<--source-port> option of the TCP extension for details."
-msgstr "送信元ポートまたはポート範囲の指定。 詳細は TCP 拡張の B<--source-port> オプションの説明を参照すること。"
-
-#. type: Plain text
-msgid "Destination port or port range specification. See the description of the B<--destination-port> option of the TCP extension for details."
-msgstr "宛先ポートまたはポート範囲の指定。 詳細は TCP 拡張の B<--destination-port> オプションの説明を参照すること。"
-
-#. type: SS
-#, no-wrap
-msgid "unclean (IPv4-specific)"
-msgstr "unclean (IPv4 の場合)"
-
-#. type: Plain text
-msgid "This module takes no options, but attempts to match packets which seem malformed or unusual. This is regarded as experimental."
-msgstr "このモジュールにはオプションがないが、 おかしく正常でないように見えるパケットにマッチする。 これは実験的なものとして扱われている。"
-
-#. type: SH
-#, no-wrap
-msgid "TARGET EXTENSIONS"
-msgstr "ターゲットの拡張"
-
-#. @TARGET@
-#. type: Plain text
-msgid "iptables can use extended target modules: the following are included in the standard distribution."
-msgstr "iptables は拡張ターゲットモジュールを使うことができる: 以下のものが、 標準的なディストリビューションに含まれている。"
-
-#. type: SS
-#, no-wrap
-msgid "AUDIT"
-msgstr "AUDIT"
-
-#. type: Plain text
-msgid "This target allows to create audit records for packets hitting the target. It can be used to record accepted, dropped, and rejected packets. See auditd(8) for additional details."
-msgstr "このターゲットを使うと、このターゲットにヒットしたパケットに対する監査 (audit) レコードを作成することができる。 許可/廃棄/拒否されたパケットを記録するのに使用できる。 詳細については auditd(8) を参照。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--type> {B<accept>|B<drop>|B<reject>}"
-msgstr "B<--type> {B<accept>|B<drop>|B<reject>}"
-
-#. type: Plain text
-msgid "Set type of audit record."
-msgstr "監査レコード種別を設定する。"
-
-#. type: Plain text
-msgid "iptables -N AUDIT_DROP"
-msgstr "iptables -N AUDIT_DROP"
-
-#. type: Plain text
-msgid "iptables -A AUDIT_DROP -j AUDIT --type drop"
-msgstr "iptables -A AUDIT_DROP -j AUDIT --type drop"
-
-#. type: Plain text
-msgid "iptables -A AUDIT_DROP -j DROP"
-msgstr "iptables -A AUDIT_DROP -j DROP"
-
-#. type: SS
-#, no-wrap
-msgid "CHECKSUM"
-msgstr "CHECKSUM"
-
-#. type: Plain text
-msgid "This target allows to selectively work around broken/old applications. It can only be used in the mangle table."
-msgstr "このターゲットは、 おかしいアプリケーションや古いアプリケーションに対する選択的な対処を可能にする。 mangle テーブルでのみ使用できる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--checksum-fill>"
-msgstr "B<--checksum-fill>"
-
-#. type: Plain text
-msgid "Compute and fill in the checksum in a packet that lacks a checksum. This is particularly useful, if you need to work around old applications such as dhcp clients, that do not work well with checksum offloads, but don't want to disable checksum offload in your device."
-msgstr ""
-
-#. type: SS
-#, no-wrap
-msgid "CLASSIFY"
-msgstr "CLASSIFY"
-
-#. type: Plain text
-msgid "This module allows you to set the skb-E<gt>priority value (and thus classify the packet into a specific CBQ class)."
-msgstr "このモジュールを使うと skb-E<gt>priority の値を設定できる (その結果、そのパケットを特定の CBQ クラスに分類できる)。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--set-class> I<major>B<:>I<minor>"
-msgstr "B<--set-class> I<major>B<:>I<minor>"
-
-#. type: Plain text
-msgid "Set the major and minor class value. The values are always interpreted as hexadecimal even if no 0x prefix is given."
-msgstr "メジャークラスとマイナークラスの値を設定する。値は常に 16 進数として解釈される。 0x が前に付いていない場合であっても 16 進数と解釈される。"
-
-#. type: SS
-#, no-wrap
-msgid "CLUSTERIP (IPv4-specific)"
-msgstr "CLUSTERIP (IPv4 の場合)"
-
-#. type: Plain text
-msgid "This module allows you to configure a simple cluster of nodes that share a certain IP and MAC address without an explicit load balancer in front of them. Connections are statically distributed between the nodes in this cluster."
-msgstr "このモジュールを使うと、 ノードの前段に明示的に負荷分散装置を置かずに、 特定の IP アドレスと MAC アドレスを共有するノードの簡単なクラスターを構成することができる。 コネクションは、このクラスターのノード間で静的に分散される。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--new>"
-msgstr "B<--new>"
-
-#. type: Plain text
-msgid "Create a new ClusterIP. You always have to set this on the first rule for a given ClusterIP."
-msgstr "新しい ClusterIP を作成する。 このオプションは、ここで指定する ClusterIP を使うルールの中で一番最初に設定しなければならない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hashmode> I<mode>"
-msgstr "B<--hashmode> I<mode>"
-
-#. type: Plain text
-msgid "Specify the hashing mode. Has to be one of B<sourceip>, B<sourceip-sourceport>, B<sourceip-sourceport-destport>."
-msgstr "ハッシュモードを指定する。 B<sourceip>, B<sourceip-sourceport>, B<sourceip-sourceport-destport> のいずれかでなければならない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--clustermac> I<mac>"
-msgstr "B<--clustermac> I<mac>"
-
-#. type: Plain text
-msgid "Specify the ClusterIP MAC address. Has to be a link-layer multicast address"
-msgstr "ClusterIP の MAC アドレスを指定する。 リンク層のマルチキャストアドレスでなければならない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--total-nodes> I<num>"
-msgstr "B<--total-nodes> I<num>"
-
-#. type: Plain text
-msgid "Number of total nodes within this cluster."
-msgstr "このクラスターの総ノード数。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--local-node> I<num>"
-msgstr "B<--local-node> I<num>"
-
-#. type: Plain text
-msgid "Local node number within this cluster."
-msgstr "このクラスターのローカルノード番号。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hash-init> I<rnd>"
-msgstr "B<--hash-init> I<rnd>"
-
-#. type: Plain text
-msgid "Specify the random seed used for hash initialization."
-msgstr "ハッシュの初期化に使用される乱数シード値を指定する。"
-
-#. type: SS
-#, no-wrap
-msgid "CONNMARK"
-msgstr "CONNMARK"
-
-#. type: Plain text
-msgid "This module sets the netfilter mark value associated with a connection. The mark is 32 bits wide."
-msgstr "このモジュールは、 コネクションに関連付けられた netfilter の mark 値を設定する。 mark は 32 ビット幅である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--set-xmark> I<value>[B</>I<mask>]"
-msgstr "B<--set-xmark> I<value>[B</>I<mask>]"
-
-#. type: Plain text
-msgid "Zero out the bits given by I<mask> and XOR I<value> into the ctmark."
-msgstr "I<mask> で指定されたビットを 0 にし、 I<value> と ctmark の XOR を取る。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--save-mark> [B<--nfmask> I<nfmask>] [B<--ctmask> I<ctmask>]"
-msgstr "B<--save-mark> [B<--nfmask> I<nfmask>] [B<--ctmask> I<ctmask>]"
-
-#. type: Plain text
-msgid "Copy the packet mark (nfmark) to the connection mark (ctmark) using the given masks. The new nfmark value is determined as follows:"
-msgstr "指定されたマスクを使って、 パケットマーク (nfmark) をコネクションマーク (ctmark) にコピーする。 新しい ctmark 値は以下のように決定される。"
-
-#. type: Plain text
-msgid "ctmark = (ctmark & ~ctmask) ^ (nfmark & nfmask)"
-msgstr "ctmark = (ctmark & ~ctmask) ^ (nfmark & nfmask)"
-
-#. type: Plain text
-msgid "i.e. I<ctmask> defines what bits to clear and I<nfmask> what bits of the nfmark to XOR into the ctmark. I<ctmask> and I<nfmask> default to 0xFFFFFFFF."
-msgstr "I<ctmask> はどのビットをクリアするかを規定し、 I<nfmask> は nfmark のどのビットを ctmark と XOR するかを規定する。 I<ctmask> と I<nfmask> のデフォルト値は 0xFFFFFFFF である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--restore-mark> [B<--nfmask> I<nfmask>] [B<--ctmask> I<ctmask>]"
-msgstr "B<--restore-mark> [B<--nfmask> I<nfmask>] [B<--ctmask> I<ctmask>]"
-
-#. type: Plain text
-msgid "Copy the connection mark (ctmark) to the packet mark (nfmark) using the given masks. The new ctmark value is determined as follows:"
-msgstr "指定されたマスクを使って、 コネクションマーク (ctmark) をパケットマーク (nfmark) にコピーする。 新しい nfmark 値は以下のように決定される。"
-
-#. type: Plain text
-msgid "nfmark = (nfmark & ~I<nfmask>) ^ (ctmark & I<ctmask>);"
-msgstr "nfmark = (nfmark & ~I<nfmask>) ^ (ctmark & I<ctmask>);"
-
-#. type: Plain text
-msgid "i.e. I<nfmask> defines what bits to clear and I<ctmask> what bits of the ctmark to XOR into the nfmark. I<ctmask> and I<nfmask> default to 0xFFFFFFFF."
-msgstr "I<nfmask> はどのビットをクリアするかを規定し、 I<ctmask> は ctmark のどのビットを nfmark と XOR するかを規定する。 I<ctmask> と I<nfmask> のデフォルト値は 0xFFFFFFFF である。"
-
-#. type: Plain text
-msgid "B<--restore-mark> is only valid in the B<mangle> table."
-msgstr "B<--restore-mark> は B<mangle> テーブルでのみ有効である。"
-
-#. type: Plain text
-msgid "The following mnemonics are available for B<--set-xmark>:"
-msgstr "以下の簡易表現が B<--set-xmark> の代わりに利用できる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--and-mark> I<bits>"
-msgstr "B<--and-mark> I<bits>"
-
-#. type: Plain text
-msgid "Binary AND the ctmark with I<bits>. (Mnemonic for B<--set-xmark 0/>I<invbits>, where I<invbits> is the binary negation of I<bits>.)"
-msgstr "ctmark と I<bits> のビット論理積 (AND) を取る (B<--set-xmark 0/>I<invbits> の簡易表現、 I<invbits> は I<bits> のビット単位の否定である)。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--or-mark> I<bits>"
-msgstr "B<--or-mark> I<bits>"
-
-#. type: Plain text
-msgid "Binary OR the ctmark with I<bits>. (Mnemonic for B<--set-xmark> I<bits>B</>I<bits>.)"
-msgstr "ctmark と I<bits> のビット論理和 (OR) を取る (B<--set-xmark> I<bits>B</>I<bits> の簡易表現)。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--xor-mark> I<bits>"
-msgstr "B<--xor-mark> I<bits>"
-
-#. type: Plain text
-msgid "Binary XOR the ctmark with I<bits>. (Mnemonic for B<--set-xmark> I<bits>B</0>.)"
-msgstr "ctmark と I<bits> のビット XOR を取る (B<--set-xmark> I<bits>B</0> の簡易表現)。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--set-mark> I<value>[B</>I<mask>]"
-msgstr "B<--set-mark> I<value>[B</>I<mask>]"
-
-#. type: Plain text
-msgid "Set the connection mark. If a mask is specified then only those bits set in the mask are modified."
-msgstr "コネクションマークを設定する。 mask が指定された場合、 mask で指定されたビットだけが変更される。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--save-mark> [B<--mask> I<mask>]"
-msgstr "B<--save-mark> [B<--mask> I<mask>]"
-
-#. type: Plain text
-msgid "Copy the nfmark to the ctmark. If a mask is specified, only those bits are copied."
-msgstr "nfmark を ctmark へコピーする。 mask が指定された場合、そのビットだけがコピーされる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--restore-mark> [B<--mask> I<mask>]"
-msgstr "B<--restore-mark> [B<--mask> I<mask>]"
-
-#. type: Plain text
-msgid "Copy the ctmark to the nfmark. If a mask is specified, only those bits are copied. This is only valid in the B<mangle> table."
-msgstr "ctmark を nfmark にコピーする。 mask が指定されると、 指定されたビットだけがコピーされる。 B<mangle> テーブルのみで有効である。"
-
-#. type: SS
-#, no-wrap
-msgid "CONNSECMARK"
-msgstr "CONNSECMARK"
-
-#. type: Plain text
-msgid "This module copies security markings from packets to connections (if unlabeled), and from connections back to packets (also only if unlabeled). Typically used in conjunction with SECMARK, it is valid in the B<security> table (for backwards compatibility with older kernels, it is also valid in the B<mangle> table)."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--save>"
-msgstr "B<--save>"
-
-#. type: Plain text
-msgid "If the packet has a security marking, copy it to the connection if the connection is not marked."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--restore>"
-msgstr "B<--restore>"
-
-#. type: Plain text
-msgid "If the packet does not have a security marking, and the connection does, copy the security marking from the connection to the packet."
-msgstr ""
-
-#. type: SS
-#, no-wrap
-msgid "CT"
-msgstr "CT"
-
-#. type: Plain text
-msgid "The CT target allows to set parameters for a packet or its associated connection. The target attaches a \"template\" connection tracking entry to the packet, which is then used by the conntrack core when initializing a new ct entry. This target is thus only valid in the \"raw\" table."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--notrack>"
-msgstr "B<--notrack>"
-
-#. type: Plain text
-msgid "Disables connection tracking for this packet."
-msgstr "このパケットに対するコネクション追跡を無効にする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--helper> I<name>"
-msgstr "B<--helper> I<name>"
-
-#. type: Plain text
-msgid "Use the helper identified by I<name> for the connection. This is more flexible than loading the conntrack helper modules with preset ports."
-msgstr "I<name> で指定されるヘルパーをこのコネクションで使用する。 この方法は、あらかじめ設定したポートに対して conntrack ヘルパーモジュールをロードするよりも柔軟性がある。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--ctevents> I<event>[B<,>...]"
-msgstr "B<--ctevents> I<event>[B<,>...]"
-
-#. type: Plain text
-msgid "Only generate the specified conntrack events for this connection. Possible event types are: B<new>, B<related>, B<destroy>, B<reply>, B<assured>, B<protoinfo>, B<helper>, B<mark> (this refers to the ctmark, not nfmark), B<natseqinfo>, B<secmark> (ctsecmark)."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--expevents> I<event>[B<,>...]"
-msgstr "B<--expevents> I<event>[B<,>...]"
-
-#. type: Plain text
-msgid "Only generate the specified expectation events for this connection. Possible event types are: B<new>."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--zone> I<id>"
-msgstr "B<--zone> I<id>"
-
-#. type: Plain text
-msgid "Assign this packet to zone I<id> and only have lookups done in that zone. By default, packets have zone 0."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--timeout> I<name>"
-msgstr "B<--timeout> I<name>"
-
-#. type: Plain text
-msgid "Use the timeout policy identified by I<name> for the connection. This is provides more flexible timeout policy definition than global timeout values available at /proc/sys/net/netfilter/nf_conntrack_*_timeout_*."
-msgstr ""
-
-#. type: SS
-#, no-wrap
-msgid "DNAT"
-msgstr "DNAT"
-
-#. type: Plain text
-msgid "This target is only valid in the B<nat> table, in the B<PREROUTING> and B<OUTPUT> chains, and user-defined chains which are only called from those chains. It specifies that the destination address of the packet should be modified (and all future packets in this connection will also be mangled), and rules should cease being examined. It takes the following options:"
-msgstr "このターゲットは B<nat> テーブルの B<PREROUTING>, B<OUTPUT> チェイン、 これらのチェインから呼び出される ユーザー定義チェインのみで有効である。 このターゲットはパケットの宛先アドレスを修正する (このコネクションの以降のパケットも修正して分からなく (mangle) する)。 さらに、 ルールによるチェックを止めさせる。 このターゲットは以下のオプションを取る。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--to-destination> [I<ipaddr>[B<->I<ipaddr>]][B<:>I<port>[B<->I<port>]]"
-msgstr "B<--to-destination> [I<ipaddr>[B<->I<ipaddr>]][B<:>I<port>[B<->I<port>]]"
-
-#. type: Plain text
-msgid "which can specify a single new destination IP address, an inclusive range of IP addresses. Optionally a port range, if the rule also specifies one of the following protocols: B<tcp>, B<udp>, B<dccp> or B<sctp>. If no port range is specified, then the destination port will never be modified. If no IP address is specified then only the destination port will be modified. In Kernels up to 2.6.10 you can add several --to-destination options. For those kernels, if you specify more than one destination address, either via an address range or multiple --to-destination options, a simple round-robin (one after another in cycle) load balancing takes place between these addresses. Later Kernels (E<gt>= 2.6.11-rc1) don't have the ability to NAT to multiple ranges anymore."
-msgstr "1 つの新しい宛先 IP アドレス、 または IP アドレスの範囲が指定できる。 また、ルールでプロトコルとして B<tcp>, B<udp>, B<dccp>, B<sctp> のいずれが指定されている場合は、ポートの範囲を指定することもできる。 ポートの範囲が指定されていない場合、 宛先ポートは変更されない。 IP アドレスが指定されなかった場合は、 宛先ポートだけが変更される。 2.6.10 以前のカーネルでは、 複数の --to-destination オプションを指定することができる。 これらのカーネルでは、 アドレスの範囲指定や --to-destination オプションの複数回指定により 2 つ以上の宛先アドレスを指定した場合、 それらのアドレスを使った単純なラウンドロビンによる負荷分散が行われる。 それ以降のカーネル (E<gt>= 2.6.11-rc1) には複数の範囲を NAT する機能は存在しない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--random>"
-msgstr "B<--random>"
-
-#. type: Plain text
-msgid "If option B<--random> is used then port mapping will be randomized (kernel E<gt>= 2.6.22)."
-msgstr "B<--random> オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.22 以降)。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--persistent>"
-msgstr "B<--persistent>"
-
-#. type: Plain text
-msgid "Gives a client the same source-/destination-address for each connection. This supersedes the SAME target. Support for persistent mappings is available from 2.6.29-rc2."
-msgstr "クライアントの各コネクションに同じ送信元アドレス/宛先アドレスを割り当てる。 これは SAME ターゲットよりも優先される。 persistent マッピングのサポートは 2.6.29-rc2 以降で利用可能である。"
-
-#. type: TP
-#, no-wrap
-msgid "IPv6 support available since Linux kernels E<gt>= 3.7."
-msgstr "IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。"
-
-#. type: SS
-#, no-wrap
-msgid "DNPT (IPv6-specific)"
-msgstr "DNPT (IPv6 のみ)"
-
-#. type: Plain text
-msgid "Provides stateless destination IPv6-to-IPv6 Network Prefix Translation (as described by RFC 6296)."
-msgstr "(RFC 6296 で説明されている) ステートレス IPv6-to-IPv6 宛先ネットワークプレフィックス変換を提供する。"
-
-#. type: Plain text
-msgid "You have to use this target in the B<mangle> table, not in the B<nat> table. It takes the following options:"
-msgstr "このターゲットは B<nat> テーブルではなく B<mangle> テーブルで使わなければならない。 以下のオプションを取る。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--src-pfx> [I<prefix/>I<length]>"
-msgstr "B<--src-pfx> [I<prefix/>I<length]>"
-
-#. type: Plain text
-msgid "Set source prefix that you want to translate and length"
-msgstr "変換を行う送信元プレフィックスとその長さを設定する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--dst-pfx> [I<prefix/>I<length]>"
-msgstr "B<--dst-pfx> [I<prefix/>I<length]>"
-
-#. type: Plain text
-msgid "Set destination prefix that you want to use in the translation and length"
-msgstr "変換を行う宛先プレフィックスとその長さを設定する。"
-
-#. type: Plain text
-msgid "You have to use the SNPT target to undo the translation. Example:"
-msgstr "変換を取り消すには SNPT ターゲットを使わなければならない。 例:"
-
-#. type: Plain text
-msgid "ip6tables -t mangle -I POSTROUTING -s fd00::/64 \\! -o vboxnet0 -j SNPT --src-pfx fd00::/64 --dst-pfx 2001:e20:2000:40f::/64"
-msgstr "ip6tables -t mangle -I POSTROUTING -s fd00::/64 \\! -o vboxnet0 -j SNPT --src-pfx fd00::/64 --dst-pfx 2001:e20:2000:40f::/64"
-
-#. type: Plain text
-msgid "ip6tables -t mangle -I PREROUTING -i wlan0 -d 2001:e20:2000:40f::/64 -j DNPT --src-pfx 2001:e20:2000:40f::/64 --dst-pfx fd00::/64"
-msgstr "ip6tables -t mangle -I PREROUTING -i wlan0 -d 2001:e20:2000:40f::/64 -j DNPT --src-pfx 2001:e20:2000:40f::/64 --dst-pfx fd00::/64"
-
-#. type: Plain text
-msgid "You may need to enable IPv6 neighbor proxy:"
-msgstr "IPv6 neighbor proxy を有効にする必要があるかもしれない。"
-
-#. type: Plain text
-msgid "sysctl -w net.ipv6.conf.all.proxy_ndp=1"
-msgstr "sysctl -w net.ipv6.conf.all.proxy_ndp=1"
-
-#. type: Plain text
-msgid "You also have to use the B<NOTRACK> target to disable connection tracking for translated flows."
-msgstr "また、変換されたフローに対するコネクション追跡を無効にするには B<NOTRACK> ターゲットを使用する必要がある。"
-
-#. type: SS
-#, no-wrap
-msgid "DSCP"
-msgstr "DSCP"
-
-#. type: Plain text
-msgid "This target allows to alter the value of the DSCP bits within the TOS header of the IPv4 packet. As this manipulates a packet, it can only be used in the mangle table."
-msgstr "このターゲットは、 IPv4 パケットの TOS ヘッダーにある DSCP ビットの値の書き換えを可能にする。 これはパケットを操作するので、 mangle テーブルでのみ使用できる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--set-dscp> I<value>"
-msgstr "B<--set-dscp> I<value>"
-
-#. type: Plain text
-msgid "Set the DSCP field to a numerical value (can be decimal or hex)"
-msgstr "DSCP フィールドの数値を設定する (10 進または 16 進)。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--set-dscp-class> I<class>"
-msgstr "B<--set-dscp-class> I<class>"
-
-#. type: Plain text
-msgid "Set the DSCP field to a DiffServ class."
-msgstr "DSCP フィールドの DiffServ クラスを設定する。"
-
-#. type: SS
-#, no-wrap
-msgid "ECN (IPv4-specific)"
-msgstr "ECN (IPv4 の場合)"
-
-#. type: Plain text
-msgid "This target allows to selectively work around known ECN blackholes. It can only be used in the mangle table."
-msgstr "このターゲットは ECN ブラックホール問題への対処を可能にする。 mangle テーブルでのみ使用できる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--ecn-tcp-remove>"
-msgstr "B<--ecn-tcp-remove>"
-
-#. type: Plain text
-msgid "Remove all ECN bits from the TCP header. Of course, it can only be used in conjunction with B<-p tcp>."
-msgstr "TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。 当然、 B<-p tcp> オプションとの組合わせでのみ使用できる。"
-
-#. type: SS
-#, no-wrap
-msgid "HL (IPv6-specific)"
-msgstr "HL (IPv6 のみ)"
-
-#. type: Plain text
-msgid "This is used to modify the Hop Limit field in IPv6 header. The Hop Limit field is similar to what is known as TTL value in IPv4. Setting or incrementing the Hop Limit field can potentially be very dangerous, so it should be avoided at any cost. This target is only valid in B<mangle> table."
-msgstr "このターゲットを使うと IPv6 ヘッダーの Hop Limit フィールドを変更することができる。 Hop Limit フィールドは IPv4 の TTL 値と同じようなものである。 Hop Limit フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。 したがって、可能な限り避けるべきである。 このターゲットは B<mangle> テーブルでのみ有効である。"
-
-#. type: Plain text
-msgid "B<Don't ever set or increment the value on packets that leave your local network!>"
-msgstr "B<決してローカルネットワーク内に留まるパケットのフィールド値を設定したり増やしたりしないこと!>"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hl-set> I<value>"
-msgstr "B<--hl-set> I<value>"
-
-#. type: Plain text
-msgid "Set the Hop Limit to `value'."
-msgstr "Hop Limit を `value' に設定する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hl-dec> I<value>"
-msgstr "B<--hl-dec> I<value>"
-
-#. type: Plain text
-msgid "Decrement the Hop Limit `value' times."
-msgstr "Hop Limit を `value' 回減算する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--hl-inc> I<value>"
-msgstr "B<--hl-inc> I<value>"
-
-#. type: Plain text
-msgid "Increment the Hop Limit `value' times."
-msgstr "Hop Limit を `value' 回加算する。"
-
-#. type: SS
-#, no-wrap
-msgid "HMARK"
-msgstr "HMARK"
-
-#. type: Plain text
-msgid "Like MARK, i.e. set the fwmark, but the mark is calculated from hashing packet selector at choice. You have also to specify the mark range and, optionally, the offset to start from. ICMP error messages are inspected and used to calculate the hashing."
-msgstr ""
-
-#. type: Plain text
-msgid "Existing options are:"
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--hmark-tuple> tuple"
-msgstr "B<--hmark-tuple> tuple"
-
-#. type: Plain text
-msgid "Possible tuple members are: B<src> meaning source address (IPv4, IPv6 address), B<dst> meaning destination address (IPv4, IPv6 address), B<sport> meaning source port (TCP, UDP, UDPlite, SCTP, DCCP), B<dport> meaning destination port (TCP, UDP, UDPlite, SCTP, DCCP), B<spi> meaning Security Parameter Index (AH, ESP), and B<ct> meaning the usage of the conntrack tuple instead of the packet selectors."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--hmark-mod> I<value (must be E<gt> 0)>"
-msgstr "B<--hmark-mod> I<value (must be E<gt> 0)>"
-
-#. type: Plain text
-msgid "Modulus for hash calculation (to limit the range of possible marks)"
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--hmark-offset> I<value>"
-msgstr "B<--hmark-offset> I<value>"
-
-#. type: Plain text
-msgid "Offset to start marks from."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "For advanced usage, instead of using --hmark-tuple, you can specify custom"
-msgstr ""
-
-#. type: Plain text
-msgid "prefixes and masks:"
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--hmark-src-prefix> I<cidr>"
-msgstr "B<--hmark-src-prefix> I<cidr>"
-
-#. type: Plain text
-msgid "The source address mask in CIDR notation."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--hmark-dst-prefix> I<cidr>"
-msgstr "B<--hmark-dst-prefix> I<cidr>"
-
-#. type: Plain text
-msgid "The destination address mask in CIDR notation."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--hmark-sport-mask> I<value>"
-msgstr "B<--hmark-sport-mask> I<value>"
-
-#. type: Plain text
-msgid "A 16 bit source port mask in hexadecimal."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--hmark-dport-mask> I<value>"
-msgstr "B<--hmark-dport-mask> I<value>"
-
-#. type: Plain text
-msgid "A 16 bit destination port mask in hexadecimal."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--hmark-spi-mask> I<value>"
-msgstr "B<--hmark-spi-mask> I<value>"
-
-#. type: Plain text
-msgid "A 32 bit field with spi mask."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--hmark-proto-mask> I<value>"
-msgstr "B<--hmark-proto-mask> I<value>"
-
-#. type: Plain text
-msgid "An 8 bit field with layer 4 protocol number."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--hmark-rnd> I<value>"
-msgstr "B<--hmark-rnd> I<value>"
-
-#. type: Plain text
-msgid "A 32 bit random custom value to feed hash calculation."
-msgstr ""
-
-#. type: Plain text
-msgid "I<Examples:>"
-msgstr "I<例>:"
-
-#. type: Plain text
-#, no-wrap
-msgid ""
-"iptables -t mangle -A PREROUTING -m conntrack --ctstate NEW\n"
-" -j HMARK --hmark-tuple ct,src,dst,proto --hmark-offset 10000\n"
-"--hmark-mod 10 --hmark-rnd 0xfeedcafe\n"
-msgstr ""
-"iptables -t mangle -A PREROUTING -m conntrack --ctstate NEW\n"
-" -j HMARK --hmark-tuple ct,src,dst,proto --hmark-offset 10000\n"
-"--hmark-mod 10 --hmark-rnd 0xfeedcafe\n"
-
-#. type: Plain text
-msgid "iptables -t mangle -A PREROUTING -j HMARK --hmark-offset 10000 --hmark-tuple src,dst,proto --hmark-mod 10 --hmark-rnd 0xdeafbeef"
-msgstr "iptables -t mangle -A PREROUTING -j HMARK --hmark-offset 10000 --hmark-tuple src,dst,proto --hmark-mod 10 --hmark-rnd 0xdeafbeef"
-
-#. type: SS
-#, no-wrap
-msgid "IDLETIMER"
-msgstr "IDLETIMER"
-
-#. type: Plain text
-msgid "This target can be used to identify when interfaces have been idle for a certain period of time. Timers are identified by labels and are created when a rule is set with a new label. The rules also take a timeout value (in seconds) as an option. If more than one rule uses the same timer label, the timer will be restarted whenever any of the rules get a hit. One entry for each timer is created in sysfs. This attribute contains the timer remaining for the timer to expire. The attributes are located under the xt_idletimer class:"
-msgstr ""
-
-#. type: Plain text
-msgid "/sys/class/xt_idletimer/timers/E<lt>labelE<gt>"
-msgstr "/sys/class/xt_idletimer/timers/E<lt>labelE<gt>"
-
-#. type: Plain text
-msgid "When the timer expires, the target module sends a sysfs notification to the userspace, which can then decide what to do (eg. disconnect to save power)."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--timeout> I<amount>"
-msgstr "B<--timeout> I<amount>"
-
-#. type: Plain text
-msgid "This is the time in seconds that will trigger the notification."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--label> I<string>"
-msgstr "B<--label> I<string>"
-
-#. type: Plain text
-msgid "This is a unique identifier for the timer. The maximum length for the label string is 27 characters."
-msgstr ""
-
-#. type: SS
-#, no-wrap
-msgid "LED"
-msgstr "LED"
-
-#. type: Plain text
-msgid "This creates an LED-trigger that can then be attached to system indicator lights, to blink or illuminate them when certain packets pass through the system. One example might be to light up an LED for a few minutes every time an SSH connection is made to the local machine. The following options control the trigger behavior:"
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--led-trigger-id> I<name>"
-msgstr "B<--led-trigger-id> I<name>"
-
-#. type: Plain text
-msgid "This is the name given to the LED trigger. The actual name of the trigger will be prefixed with \"netfilter-\"."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--led-delay> I<ms>"
-msgstr "B<--led-delay> I<ms>"
-
-#. type: Plain text
-msgid "This indicates how long (in milliseconds) the LED should be left illuminated when a packet arrives before being switched off again. The default is 0 (blink as fast as possible.) The special value I<inf> can be given to leave the LED on permanently once activated. (In this case the trigger will need to be manually detached and reattached to the LED device to switch it off again.)"
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--led-always-blink>"
-msgstr "B<--led-always-blink>"
-
-#. type: Plain text
-msgid "Always make the LED blink on packet arrival, even if the LED is already on. This allows notification of new packets even with long delay values (which otherwise would result in a silent prolonging of the delay time.)"
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "Create an LED trigger for incoming SSH traffic:"
-msgstr ""
-
-#. type: Plain text
-msgid "iptables -A INPUT -p tcp --dport 22 -j LED --led-trigger-id ssh"
-msgstr "iptables -A INPUT -p tcp --dport 22 -j LED --led-trigger-id ssh"
-
-#. type: TP
-#, no-wrap
-msgid "Then attach the new trigger to an LED:"
-msgstr ""
-
-#. type: Plain text
-msgid "echo netfilter-ssh E<gt>/sys/class/leds/I<ledname>/trigger"
-msgstr "echo netfilter-ssh E<gt>/sys/class/leds/I<ledname>/trigger"
-
-#. type: SS
-#, no-wrap
-msgid "LOG"
-msgstr "LOG"
-
-#. type: Plain text
-msgid "Turn on kernel logging of matching packets. When this option is set for a rule, the Linux kernel will print some information on all matching packets (like most IP/IPv6 header fields) via the kernel log (where it can be read with I<dmesg(1)> or read in the syslog)."
-msgstr "マッチしたパケットをカーネルログに記録する。 このオプションがルールに対して設定されると、 Linux カーネルはマッチしたパケットについての何らかの情報 (多くの IP/IPv6 ヘッダーフィールドなど) を カーネルログに表示する (カーネルログは I<dmesg>(1) や syslog で参照できる)。"
-
-#. type: Plain text
-msgid "This is a \"non-terminating target\", i.e. rule traversal continues at the next rule. So if you want to LOG the packets you refuse, use two separate rules with the same matching criteria, first using target LOG then DROP (or REJECT)."
-msgstr "これは \"非終了ターゲット\" である。 すなわち、 ルールの探索は次のルールへと継続される。 よって、 拒否するパケットをログ記録したければ、 同じマッチング判断基準を持つ 2 つのルールを使用し、 最初のルールで LOG ターゲットを、 次のルールで DROP (または REJECT) ターゲットを指定する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--log-level> I<level>"
-msgstr "B<--log-level> I<level>"
-
-#. type: Plain text
-msgid "Level of logging, which can be (system-specific) numeric or a mnemonic. Possible values are (in decreasing order of priority): B<emerg>, B<alert>, B<crit>, B<error>, B<warning>, B<notice>, B<info> or B<debug>."
-msgstr "ロギングレベル。 (システム固有の) 数値かシンボル名を指定する。 指定できる値は (優先度が高い順に) B<emerg>, B<alert>, B<crit>, B<error>, B<warning>, B<notice>, B<info>, B<debug> である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--log-prefix> I<prefix>"
-msgstr "B<--log-prefix> I<prefix>"
-
-#. type: Plain text
-msgid "Prefix log messages with the specified prefix; up to 29 letters long, and useful for distinguishing messages in the logs."
-msgstr ""
-"指定したプレフィックスをログメッセージの前に付ける。 \n"
-"プレフィックスは 29 文字までの長さで、 \n"
-"ログの中でメッセージを区別するのに役立つ。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--log-tcp-sequence>"
-msgstr "B<--log-tcp-sequence>"
-
-#. type: Plain text
-msgid "Log TCP sequence numbers. This is a security risk if the log is readable by users."
-msgstr "TCP シーケンス番号をログに記録する。 ログがユーザーから読める場合、 セキュリティ上の危険がある。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--log-tcp-options>"
-msgstr "B<--log-tcp-options>"
-
-#. type: Plain text
-msgid "Log options from the TCP packet header."
-msgstr "TCP パケットヘッダーのオプションをログに記録する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--log-ip-options>"
-msgstr "B<--log-ip-options>"
-
-#. type: Plain text
-msgid "Log options from the IP/IPv6 packet header."
-msgstr "IP/IPv6 パケットヘッダーのオプションをログに記録する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--log-uid>"
-msgstr "B<--log-uid>"
-
-#. type: Plain text
-msgid "Log the userid of the process which generated the packet."
-msgstr "パケットを生成したプロセスのユーザー ID をログに記録する。"
-
-#. type: SS
-#, no-wrap
-msgid "MARK"
-msgstr "MARK"
-
-#. type: Plain text
-msgid "This target is used to set the Netfilter mark value associated with the packet. It can, for example, be used in conjunction with routing based on fwmark (needs iproute2). If you plan on doing so, note that the mark needs to be set in the PREROUTING chain of the mangle table to affect routing. The mark field is 32 bits wide."
-msgstr "このターゲットを使うと、 そのパケットに関連付けられる Netfilter マーク値を設定する。 例えば、 fwmark に基づくルーティング (iproute2 が必要) と組み合わせて使うことができる。 そうする場合には、 ルーティング時に考慮されるようにするには、 mangle テーブルの PREROUTING チェインでマークを設定する必要がある。 マークフィールドは 32 ビット幅である。"
-
-#. type: Plain text
-msgid "Zeroes out the bits given by I<mask> and XORs I<value> into the packet mark (\"nfmark\"). If I<mask> is omitted, 0xFFFFFFFF is assumed."
-msgstr "I<mask> で指定されたビットを 0 にし、 I<value> と packet mark (\"nfmark\") の XOR を取る。 I<mask> が省略された場合は 0xFFFFFFFF とみなされる。"
-
-#. type: Plain text
-msgid "Zeroes out the bits given by I<mask> and ORs I<value> into the packet mark. If I<mask> is omitted, 0xFFFFFFFF is assumed."
-msgstr "I<mask> で指定されたビットを 0 にし、 I<value> と packet mark の OR を取る。 I<mask> が省略された場合は 0xFFFFFFFF とみなされる。"
-
-#. type: Plain text
-msgid "The following mnemonics are available:"
-msgstr "以下の簡易表現が利用できる。"
-
-#. type: Plain text
-msgid "Binary AND the nfmark with I<bits>. (Mnemonic for B<--set-xmark 0/>I<invbits>, where I<invbits> is the binary negation of I<bits>.)"
-msgstr "nfmark と I<bits> のビット論理積 (AND) を取る (B<--set-xmark 0/>I<invbits> の簡易表現、 I<invbits> は I<bits> のビット単位の否定である)。"
-
-#. type: Plain text
-msgid "Binary OR the nfmark with I<bits>. (Mnemonic for B<--set-xmark> I<bits>B</>I<bits>.)"
-msgstr "nfmark と I<bits> のビット論理和 (OR) を取る (B<--set-xmark> I<bits>B</>I<bits> の簡易表現)。"
-
-#. type: Plain text
-msgid "Binary XOR the nfmark with I<bits>. (Mnemonic for B<--set-xmark> I<bits>B</0>.)"
-msgstr "nfmark と I<bits> のビット XOR を取る (B<--set-xmark> I<bits>B</0> の簡易表現)。"
-
-#. type: SS
-#, no-wrap
-msgid "MASQUERADE"
-msgstr "MASQUERADE"
-
-#. type: Plain text
-msgid "This target is only valid in the B<nat> table, in the B<POSTROUTING> chain. It should only be used with dynamically assigned IP (dialup) connections: if you have a static IP address, you should use the SNAT target. Masquerading is equivalent to specifying a mapping to the IP address of the interface the packet is going out, but also has the effect that connections are I<forgotten> when the interface goes down. This is the correct behavior when the next dialup is unlikely to have the same interface address (and hence any established connections are lost anyway)."
-msgstr "このターゲットは B<nat> テーブルの B<POSTROUTING> チェインのみで有効である。 動的割り当て IP (ダイヤルアップ) コネクションの場合にのみ使うべきである。 固定 IP アドレスならば、 SNAT ターゲットを使うべきである。 マスカレーディングは、 パケットが送信されるインターフェースの IP アドレスへのマッピングを指定するのと同じであるが、 インターフェースが停止した場合にコネクションをI<忘れる>という効果がある。 次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い (そのため、 前回確立されたコネクションは失われる) 場合、 この動作は正しい。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--to-ports> I<port>[B<->I<port>]"
-msgstr "B<--to-ports> I<port>[B<->I<port>]"
-
-#. type: Plain text
-msgid "This specifies a range of source ports to use, overriding the default B<SNAT> source port-selection heuristics (see above). This is only valid if the rule also specifies one of the following protocols: B<tcp>, B<udp>, B<dccp> or B<sctp>."
-msgstr "このオプションは、 使用する送信元ポートの範囲を指定し、 デフォルトの B<SNAT> 送信元ポートの選択方法 (上記) よりも優先される。 ルールがプロトコルとして B<tcp>, B<udp>, B<dccp>, B<sctp> を指定している場合にのみ有効である。"
-
-#. type: Plain text
-msgid "Randomize source port mapping If option B<--random> is used then port mapping will be randomized (kernel E<gt>= 2.6.21)."
-msgstr "送信元ポートのマッピングをランダム化する。 B<--random> オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.21 以降)。"
-
-#. type: SS
-#, no-wrap
-msgid "MIRROR (IPv4-specific)"
-msgstr "MIRROR (IPv4 の場合)"
-
-#. type: Plain text
-msgid "This is an experimental demonstration target which inverts the source and destination fields in the IP header and retransmits the packet. It is only valid in the B<INPUT>, B<FORWARD> and B<PREROUTING> chains, and user-defined chains which are only called from those chains. Note that the outgoing packets are B<NOT> seen by any packet filtering chains, connection tracking or NAT, to avoid loops and other problems."
-msgstr "実験的なデモンストレーション用のターゲットであり、 IP ヘッダーの送信元と宛先フィールドを入れ換え、 パケットを再送信するものである。 これは B<INPUT>, B<FORWARD>, B<PREROUTING> チェインと、 これらのチェインから呼び出される ユーザー定義チェインだけで有効である。 ループ等の問題を回避するため、 外部に送られるパケットは いかなるパケットフィルタリングチェイン・コネクション追跡・NAT からも 監視B<されない>。"
-
-#. type: SS
-#, no-wrap
-msgid "NETMAP"
-msgstr "NETMAP"
-
-#. type: Plain text
-msgid "This target allows you to statically map a whole network of addresses onto another network of addresses. It can only be used from rules in the B<nat> table."
-msgstr "このターゲットを使うと、あるアドレスネットワーク全体を別のネットワークアドレスに静的にマッピングできる。 このターゲットは B<nat> テーブルでルールでのみ使用できる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--to> I<address>[B</>I<mask>]"
-msgstr "B<--to> I<address>[B</>I<mask>]"
-
-#. type: Plain text
-msgid "Network address to map to. The resulting address will be constructed in the following way: All 'one' bits in the mask are filled in from the new `address'. All bits that are zero in the mask are filled in from the original address."
-msgstr "マッピング先のネットワークアドレス。 変換後のアドレスは以下のようにして構築される。 mask で '1' になっているビットは新しいアドレスが使われ、 mask で '0' になっているビットは元のアドレスが使われる。"
-
-#. type: SS
-#, no-wrap
-msgid "NFLOG"
-msgstr "NFLOG"
-
-#. type: Plain text
-msgid "This target provides logging of matching packets. When this target is set for a rule, the Linux kernel will pass the packet to the loaded logging backend to log the packet. This is usually used in combination with nfnetlink_log as logging backend, which will multicast the packet through a I<netlink> socket to the specified multicast group. One or more userspace processes may subscribe to the group to receive the packets. Like LOG, this is a non-terminating target, i.e. rule traversal continues at the next rule."
-msgstr "このターゲットは、 マッチしたパケットをログに記録する機能を提供する。 このターゲットがルールに設定されると、 Linux カーネルはそのログに記録するためにそのパケットをロードされたロギングバックエンドに渡す。 このターゲットは通常は nfnetlink_log をロギングバックエンドとして使う組み合わせで使用される。 nfnetlink_log はそのパケットを I<netlink> ソケット経由で指定されたマルチキャストグループにマルチキャストする。 1 つ以上のユーザー空間プロセスがマルチキャストグループを購読しパケットを受信することができる。 LOG と同様に、 このターゲットは非終了ターゲットであり、 ルールの探索は次のルールへと継続される。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--nflog-group> I<nlgroup>"
-msgstr "B<--nflog-group> I<nlgroup>"
-
-#. type: Plain text
-msgid "The netlink group (0 - 2^16-1) to which packets are (only applicable for nfnetlink_log). The default value is 0."
-msgstr "パケットを送信する netlink グループ (0 - 2^16-1) を指定する (nfnetlink_log の場合のみ利用できる)。 デフォルトの値は 0 である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--nflog-prefix> I<prefix>"
-msgstr "B<--nflog-prefix> I<prefix>"
-
-#. type: Plain text
-msgid "A prefix string to include in the log message, up to 64 characters long, useful for distinguishing messages in the logs."
-msgstr "ログメッセージの前に付けるプレフィックス文字列。 最大 64 文字までの指定できる。 ログの中でメッセージを区別するのに役に立つ。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--nflog-range> I<size>"
-msgstr "B<--nflog-range> I<size>"
-
-#. type: Plain text
-msgid "The number of bytes to be copied to userspace (only applicable for nfnetlink_log). nfnetlink_log instances may specify their own range, this option overrides it."
-msgstr "ユーザー空間にコピーするバイト数 (nfnetlink_log の場合のみ利用できる)。 nfnetlink_log のインスタンスは自身でコピーする範囲を指定できるが、 このオプションはそれを上書きする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--nflog-threshold> I<size>"
-msgstr "B<--nflog-threshold> I<size>"
-
-#. type: Plain text
-msgid "Number of packets to queue inside the kernel before sending them to userspace (only applicable for nfnetlink_log). Higher values result in less overhead per packet, but increase delay until the packets reach userspace. The default value is 1."
-msgstr "ユーザー空間にパケットを送信する前に、カーネル内部のキューに入れるパケット数 (nfnetlink_log の場合のみ利用できる)。 大きめの値を指定するほどパケット単位のオーバヘッドは少なくなるが、 パケットがユーザー空間に届くまでの遅延が大きくなる。 デフォルト値は 1 である。"
-
-#. type: SS
-#, no-wrap
-msgid "NFQUEUE"
-msgstr "NFQUEUE"
-
-#. type: Plain text
-msgid "This target passes the packet to userspace using the B<nfnetlink_queue> handler. The packet is put into the queue identified by its 16-bit queue number. Userspace can inspect and modify the packet if desired. Userspace must then drop or reinject the packet into the kernel. Please see libnetfilter_queue for details. B<nfnetlink_queue> was added in Linux 2.6.14. The B<queue-balance> option was added in Linux 2.6.31, B<queue-bypass> in 2.6.39."
-msgstr ""
-"このターゲットは、 B<nfnetlink_queue> ハンドラーを使ってそのパケットをユーザー空間に渡す。 パケットは 16 ビットのキュー番号で指定されたキューに入れられる。 ユーザー空間では好きなようにパケットを検査し変更できる。 ユーザー空間側では、必ずそのパケットを破棄するかカーネルに戻すかのどちらかをしなければならない。 詳細は libnetfilter_queue を参照のこと。\n"
-"B<nfnetlink_queue> は Linux 2.6.14 で追加された。 B<queue-balance> オプションは Linux 2.6.31 で、 B<queue-bypass> は Linux 2.6.39 で追加された。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--queue-num> I<value>"
-msgstr "B<--queue-num> I<value>"
-
-#. type: Plain text
-msgid "This specifies the QUEUE number to use. Valid queue numbers are 0 to 65535. The default value is 0."
-msgstr "使用する QUEUE 番号を指定する。 有効なキュー番号は 0 から 65535 である。 デフォルトは 0 である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--queue-balance> I<value>B<:>I<value>"
-msgstr "B<--queue-balance> I<value>B<:>I<value>"
-
-#. type: Plain text
-msgid "This specifies a range of queues to use. Packets are then balanced across the given queues. This is useful for multicore systems: start multiple instances of the userspace program on queues x, x+1, .. x+n and use \"--queue-balance I<x>B<:>I<x+n>\". Packets belonging to the same connection are put into the same nfqueue."
-msgstr "使用するキューの範囲を指定する。 パケットは指定された範囲のキューに分散される。 これはマルチコアシステムで有用である。 ユーザー空間プログラムの複数インスタンスをキュー x, x+1, .. x+n で開始し、 \"--queue-balance I<x>B<:>I<x+n>\" を使用する。 同じコネクションに所属するパケットは同じ nfqueue に入れられる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--queue-bypass>"
-msgstr "B<--queue-bypass>"
-
-#. type: Plain text
-msgid "By default, if no userspace program is listening on an NFQUEUE, then all packets that are to be queued are dropped. When this option is used, the NFQUEUE rule behaves like ACCEPT instead, and the packet will move on to the next table."
-msgstr "デフォルトでは、 どのユーザー空間プログラムも NFQUEUE をリッスンしていない場合、 キューされるはずのすべてのパケットが破棄される。 このオプションを使うと、 NFQUEUE ルールは ACCEPT のような動作となり、 パケットは次のテーブルに進む。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--queue-cpu-fanout>"
-msgstr "B<--queue-cpu-fanout>"
-
-#. type: Plain text
-msgid "Available starting Linux kernel 3.10. When used together with B<--queue-balance> this will use the CPU ID as an index to map packets to the queues. The idea is that you can improve performance if there's a queue per CPU. This requires B<--queue-balance> to be specified."
-msgstr "Linux カーネル 3.10 以降で利用可能。 B<--queue-balance> とともに使用されると、このオプションはパケットをキューにマッピングする際のインデックスとして CPU ID を使用する。 これは、 CPU ごとにキューがある場合に性能を向上させようというものである。 このオプションを使うには B<--queue-balance> を指定する必要がある。"
-
-#. type: SS
-#, no-wrap
-msgid "NOTRACK"
-msgstr "NOTRACK"
-
-#. type: Plain text
-msgid "This extension disables connection tracking for all packets matching that rule. It is equivalent with -j CT --notrack. Like CT, NOTRACK can only be used in the B<raw> table."
-msgstr "このターゲットを使うと、そのルールにマッチした全てのパケットでコネクション追跡が無効になる。 これは -j CT --notrack と等価である。 CT と同様、 NOTRACK は B<raw> テーブルでのみ使用できる。"
-
-#. type: SS
-#, no-wrap
-msgid "RATEEST"
-msgstr "RATEEST"
-
-#. type: Plain text
-msgid "The RATEEST target collects statistics, performs rate estimation calculation and saves the results for later evaluation using the B<rateest> match."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--rateest-name> I<name>"
-msgstr "B<--rateest-name> I<name>"
-
-#. type: Plain text
-msgid "Count matched packets into the pool referred to by I<name>, which is freely choosable."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--rateest-interval> I<amount>{B<s>|B<ms>|B<us>}"
-msgstr "B<--rateest-interval> I<amount>{B<s>|B<ms>|B<us>}"
-
-#. type: Plain text
-msgid "Rate measurement interval, in seconds, milliseconds or microseconds."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--rateest-ewmalog> I<value>"
-msgstr "B<--rateest-ewmalog> I<value>"
-
-#. type: Plain text
-msgid "Rate measurement averaging time constant."
-msgstr ""
-
-#. type: SS
-#, no-wrap
-msgid "REDIRECT"
-msgstr "REDIRECT"
-
-#. type: Plain text
-msgid "This target is only valid in the B<nat> table, in the B<PREROUTING> and B<OUTPUT> chains, and user-defined chains which are only called from those chains. It redirects the packet to the machine itself by changing the destination IP to the primary address of the incoming interface (locally-generated packets are mapped to the localhost address, 127.0.0.1 for IPv4 and ::1 for IPv6)."
-msgstr "このターゲットは、 B<nat> テーブルの B<PREROUTING> チェインと B<OUTPUT> チェイン、 およびこれらチェインから呼び出されるユーザー定義チェインでのみ有効である。 このターゲットは、 宛先 IP をパケットを受信したインタフェースの最初のアドレスに変更することで、 パケットをそのマシン自身にリダイレクトする (ローカルで生成されたパケットはローカルホストのアドレス、 IPv4 では 127.0.0.1、 IPv6 では ::1 にマップされる)。"
-
-#. type: Plain text
-msgid "This specifies a destination port or range of ports to use: without this, the destination port is never altered. This is only valid if the rule also specifies one of the following protocols: B<tcp>, B<udp>, B<dccp> or B<sctp>."
-msgstr "このオプションは使用される宛先ポート・ポート範囲・複数ポートを指定する。 このオプションが指定されない場合、 宛先ポートは変更されない。 ルールがプロトコルとして B<tcp>, B<udp>, B<dccp>, B<sctp> を指定している場合にのみ有効である。"
-
-#. type: TP
-#, no-wrap
-msgid "IPv6 support available starting Linux kernels E<gt>= 3.7."
-msgstr "IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。"
-
-#. type: SS
-#, no-wrap
-msgid "REJECT (IPv6-specific)"
-msgstr "REJECT (IPv6 のみ)"
-
-#. type: Plain text
-msgid "This is used to send back an error packet in response to the matched packet: otherwise it is equivalent to B<DROP> so it is a terminating TARGET, ending rule traversal. This target is only valid in the B<INPUT>, B<FORWARD> and B<OUTPUT> chains, and user-defined chains which are only called from those chains. The following option controls the nature of the error packet returned:"
-msgstr ""
-"マッチしたパケットの応答としてエラーパケットを送信するために使われる。 \n"
-"エラーパケットを送らなければ、 B<DROP> と同じであり、 TARGET を終了し、 \n"
-"ルールの探索を終了する。 このターゲットは、 B<INPUT>, B<FORWARD>,\n"
-"B<OUTPUT> チェインと、 これらのチェインから呼ばれる ユーザー定義チェイン\n"
-"だけで有効である。 以下のオプションは、 返されるエラーパケットの特性を\n"
-"制御する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--reject-with> I<type>"
-msgstr "B<--reject-with> I<type>"
-
-#. type: Plain text
-msgid "The type given can be B<icmp6-no-route>, B<no-route>, B<icmp6-adm-prohibited>, B<adm-prohibited>, B<icmp6-addr-unreachable>, B<addr-unreach>, or B<icmp6-port-unreachable>, which return the appropriate ICMPv6 error message (B<icmp6-port-unreachable> is the default). Finally, the option B<tcp-reset> can be used on rules which only match the TCP protocol: this causes a TCP RST packet to be sent back. This is mainly useful for blocking I<ident> (113/tcp) probes which frequently occur when sending mail to broken mail hosts (which won't accept your mail otherwise). B<tcp-reset> can only be used with kernel versions 2.6.14 or later."
-msgstr "指定できるタイプは B<icmp6-no-route>, B<no-route>, B<icmp6-adm-prohibited>, B<adm-prohibited>, B<icmp6-addr-unreachable>, B<addr-unreach>, B<icmp6-port-unreachable> である。 指定したタイプの適切な IPv6 エラーメッセージが返される (B<icmp6-port-unreachable> がデフォルトである)。 さらに、 TCP プロトコルにのみマッチするルールに対して、 オプション B<tcp-reset> を使うことができる。 このオプションを使うと、 TCP RST パケットが送り返される。 主として I<ident> (113/tcp) による探査を阻止するのに役立つ。 I<ident> による探査は、 壊れている (メールを受け取らない) メールホストに メールが送られる場合に頻繁に起こる。 B<tcp-reset> はバージョン 2.6.14 以降のカーネルでのみ使用できる。"
-
-#. type: SS
-#, no-wrap
-msgid "REJECT (IPv4-specific)"
-msgstr "REJECT (IPv4 の場合)"
-
-#. type: Plain text
-msgid "The type given can be B<icmp-net-unreachable>, B<icmp-host-unreachable>, B<icmp-port-unreachable>, B<icmp-proto-unreachable>, B<icmp-net-prohibited>, B<icmp-host-prohibited>, or B<icmp-admin-prohibited> (*), which return the appropriate ICMP error message (B<icmp-port-unreachable> is the default). The option B<tcp-reset> can be used on rules which only match the TCP protocol: this causes a TCP RST packet to be sent back. This is mainly useful for blocking I<ident> (113/tcp) probes which frequently occur when sending mail to broken mail hosts (which won't accept your mail otherwise)."
-msgstr "指定できるタイプは B<icmp-net-unreachable>, B<icmp-host-unreachable>, B<icmp-port-unreachable>, B<icmp-proto-unreachable>, B<icmp-net-prohibited>, B<icmp-host-prohibited>, B<icmp-admin-prohibited> (*) である。指定したタイプの適切な ICMP エラーメッセージを返す (B<icmp-port-unreachable> がデフォルトである)。 TCP プロトコルにのみマッチするルールに対して、 オプション B<tcp-reset> を使うことができる。 このオプションを使うと、 TCP RST パケットが送り返される。 主として I<ident> (113/tcp) による探査を阻止するのに役立つ。 I<ident> による探査は、 壊れている (メールを受け取らない) メールホストに メールが送られる場合に頻繁に起こる。"
-
-#. type: Plain text
-msgid "(*) Using icmp-admin-prohibited with kernels that do not support it will result in a plain DROP instead of REJECT"
-msgstr "(*) icmp-admin-prohibited をサポートしないカーネルで、 icmp-admin-prohibited を使用すると、 REJECT ではなく単なる DROP になる。"
-
-#. type: SS
-#, no-wrap
-msgid "SAME (IPv4-specific)"
-msgstr "SAME (IPv4 の場合)"
-
-#. type: Plain text
-msgid "Similar to SNAT/DNAT depending on chain: it takes a range of addresses (`--to 1.2.3.4-1.2.3.7') and gives a client the same source-/destination-address for each connection."
-msgstr ""
-
-#. type: Plain text
-msgid "N.B.: The DNAT target's B<--persistent> option replaced the SAME target."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--to> I<ipaddr>[B<->I<ipaddr>]"
-msgstr "B<--to> I<ipaddr>[B<->I<ipaddr>]"
-
-#. type: Plain text
-msgid "Addresses to map source to. May be specified more than once for multiple ranges."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--nodst>"
-msgstr "B<--nodst>"
-
-#. type: Plain text
-msgid "Don't use the destination-ip in the calculations when selecting the new source-ip"
-msgstr ""
-
-#. type: Plain text
-msgid "Port mapping will be forcibly randomized to avoid attacks based on port prediction (kernel E<gt>= 2.6.21)."
-msgstr ""
-
-#. type: SS
-#, no-wrap
-msgid "SECMARK"
-msgstr "SECMARK"
-
-#. type: Plain text
-msgid "This is used to set the security mark value associated with the packet for use by security subsystems such as SELinux. It is valid in the B<security> table (for backwards compatibility with older kernels, it is also valid in the B<mangle> table). The mark is 32 bits wide."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--selctx> I<security_context>"
-msgstr "B<--selctx> I<security_context>"
-
-#. type: SS
-#, no-wrap
-msgid "SET"
-msgstr "SET"
-
-#. type: Plain text
-msgid "This module adds and/or deletes entries from IP sets which can be defined by ipset(8)."
-msgstr "このモジュールは B<ipsec>(8) で定義できる IP 集合のエントリの追加、削除、その両方を行う。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--add-set> I<setname> I<flag>[B<,>I<flag>...]"
-msgstr "B<--add-set> I<setname> I<flag>[B<,>I<flag>...]"
-
-#. type: Plain text
-msgid "add the address(es)/port(s) of the packet to the set"
-msgstr "集合に指定されたアドレス/ポート (複数可) を追加する"
-
-#. type: TP
-#, no-wrap
-msgid "B<--del-set> I<setname> I<flag>[B<,>I<flag>...]"
-msgstr "B<--del-set> I<setname> I<flag>[B<,>I<flag>...]"
-
-#. type: Plain text
-msgid "delete the address(es)/port(s) of the packet from the set"
-msgstr "集合から指定されたアドレス/ポート (複数可) を削除する"
-
-#. type: Plain text
-msgid "where I<flag>(s) are B<src> and/or B<dst> specifications and there can be no more than six of them."
-msgstr "I<flag> は B<src> や B<dst> の指定であり、 指定できるのは 6 個までである。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--timeout> I<value>"
-msgstr "B<--timeout> I<value>"
-
-#. type: Plain text
-msgid "when adding an entry, the timeout value to use instead of the default one from the set definition"
-msgstr "エントリを追加する際に、 集合定義のデフォルト値ではなく指定したタイムアウト値を使用する"
-
-#. type: TP
-#, no-wrap
-msgid "B<--exist>"
-msgstr "B<--exist>"
-
-#. type: Plain text
-msgid "when adding an entry if it already exists, reset the timeout value to the specified one or to the default from the set definition"
-msgstr "エントリを追加する際に、 エントリが存在する場合、 タイムアウト値を、 指定された値か集合定義のデフォルト値にリセットする"
-
-#. type: Plain text
-msgid "Use of -j SET requires that ipset kernel support is provided, which, for standard kernels, is the case since Linux 2.6.39."
-msgstr "-j SET を使用するには ipset のカーネルサポートが必要である。 標準のカーネルでは、 Linux 2.6.39 以降で提供されている。"
-
-#. type: SS
-#, no-wrap
-msgid "SNAT"
-msgstr "SNAT"
-
-#. type: Plain text
-msgid "This target is only valid in the B<nat> table, in the B<POSTROUTING> and B<INPUT> chains, and user-defined chains which are only called from those chains. It specifies that the source address of the packet should be modified (and all future packets in this connection will also be mangled), and rules should cease being examined. It takes the following options:"
-msgstr "このターゲットは B<nat> テーブルの B<POSTROUTING>, B<INPUT> チェイン、 これらのチェインから呼び出される ユーザー定義チェインのみで有効である。 このターゲットはパケットの送信元アドレスを修正する (このコネクションの以降のパケットも修正して分からなく (mangle) する)。 さらに、 ルールによるチェックを止めさせる。 このターゲットには以下のオプションがある:"
-
-#. type: TP
-#, no-wrap
-msgid "B<--to-source> [I<ipaddr>[B<->I<ipaddr>]][B<:>I<port>[B<->I<port>]]"
-msgstr "B<--to-source> [I<ipaddr>[B<->I<ipaddr>]][B<:>I<port>[B<->I<port>]]"
-
-#. type: Plain text
-msgid "which can specify a single new source IP address, an inclusive range of IP addresses. Optionally a port range, if the rule also specifies one of the following protocols: B<tcp>, B<udp>, B<dccp> or B<sctp>. If no port range is specified, then source ports below 512 will be mapped to other ports below 512: those between 512 and 1023 inclusive will be mapped to ports below 1024, and other ports will be mapped to 1024 or above. Where possible, no port alteration will occur. In Kernels up to 2.6.10, you can add several --to-source options. For those kernels, if you specify more than one source address, either via an address range or multiple --to-source options, a simple round-robin (one after another in cycle) takes place between these addresses. Later Kernels (E<gt>= 2.6.11-rc1) don't have the ability to NAT to multiple ranges anymore."
-msgstr "1 つの新しい送信元 IP アドレス、 または IP アドレスの範囲が指定できる。 ルールでプロトコルとして B<tcp>, B<udp>, B<dccp>, B<sctp> が指定されている場合、 ポートの範囲を指定することもできる。 ポートの範囲が指定されていない場合、 512 未満の送信元ポートは、 他の 512 未満のポートにマッピングされる。 512 〜 1023 までのポートは、 1024 未満のポートにマッピングされる。 それ以外のポートは、 1024 以上のポートにマッピングされる。 可能であれば、 ポートの変換は起こらない。 2.6.10 以前のカーネルでは、 複数の --to-source オプションを指定することができる。 これらのカーネルでは、 アドレスの範囲指定や --to-source オプションの複数回指定により 2 つ以上の送信元アドレスを指定した場合、 それらのアドレスを使った単純なラウンド・ロビンが行われる。 それ以降のカーネル (E<gt>= 2.6.11-rc1) には複数の範囲を NAT する機能は存在しない。"
-
-#. type: Plain text
-msgid "If option B<--random> is used then port mapping will be randomized (kernel E<gt>= 2.6.21)."
-msgstr "B<--random> オプションが使用されると、ポートマッピングはランダム化される (カーネル 2.6.21 以降)。"
-
-#. type: Plain text
-msgid "Kernels prior to 2.6.36-rc1 don't have the ability to B<SNAT> in the B<INPUT> chain."
-msgstr "2.6.36-rc1 より前のカーネルでは B<INPUT> チェインで B<SNAT> を使用できない。"
-
-#. type: SS
-#, no-wrap
-msgid "SNPT (IPv6-specific)"
-msgstr "SNPT (IPv6 のみ)"
-
-#. type: Plain text
-msgid "Provides stateless source IPv6-to-IPv6 Network Prefix Translation (as described by RFC 6296)."
-msgstr "(RFC 6296 で説明されている) ステートレス IPv6-to-IPv6 送信元ネットワークプレフィックス変換を提供する。"
-
-#. type: Plain text
-msgid "You have to use the DNPT target to undo the translation. Example:"
-msgstr "変換を取り消すには DNPT ターゲットを使わなければならない。 例:"
-
-#. type: SS
-#, no-wrap
-msgid "TCPMSS"
-msgstr "TCPMSS"
-
-#. type: Plain text
-msgid "This target allows to alter the MSS value of TCP SYN packets, to control the maximum size for that connection (usually limiting it to your outgoing interface's MTU minus 40 for IPv4 or 60 for IPv6, respectively). Of course, it can only be used in conjunction with B<-p tcp>."
-msgstr "このターゲットを用いると、 TCP の SYN パケットの MSS 値を書き換え、 そのコネクションでの最大サイズを制御できる (通常は、 送信インターフェースの MTU から IPv4 では 40 を、 IPv6 では 60 を引いた値に制限する)。 もちろん B<-p tcp> との組み合わせでしか使えない。"
-
-#. type: Plain text
-msgid "This target is used to overcome criminally braindead ISPs or servers which block \"ICMP Fragmentation Needed\" or \"ICMPv6 Packet Too Big\" packets. The symptoms of this problem are that everything works fine from your Linux firewall/router, but machines behind it can never exchange large packets:"
-msgstr "このターゲットは、 \"ICMP Fragmentation Needed\" や \"ICMPv6 Packet Too Big\" パケットをブロックしている犯罪的に頭のいかれた ISP やサーバーを乗り越えるために使用される。 Linux ファイアウォール/ルーターでは何も問題がないのに、 そこにぶら下がるマシンでは以下のように大きなパケットをやりとりできないというのが、 この問題の兆候である。"
-
-#. type: IP
-#, no-wrap
-msgid "1."
-msgstr "1."
-
-#. type: Plain text
-msgid "Web browsers connect, then hang with no data received."
-msgstr "ウェブ・ブラウザで接続しようとすると、 何のデータも受け取らずにハングする"
-
-#. type: IP
-#, no-wrap
-msgid "2."
-msgstr "2."
-
-#. type: Plain text
-msgid "Small mail works fine, but large emails hang."
-msgstr "短いメールは問題ないが、 長いメールがハングする"
-
-#. type: IP
-#, no-wrap
-msgid "3."
-msgstr "3."
-
-#. type: Plain text
-msgid "ssh works fine, but scp hangs after initial handshaking."
-msgstr "ssh は問題ないが、 scp は最初のハンドシェーク後にハングする"
-
-#. type: Plain text
-msgid "Workaround: activate this option and add a rule to your firewall configuration like:"
-msgstr "回避方法: このオプションを有効にし、 以下のようなルールを ファイアウォールの設定に追加する。"
-
-#. type: Plain text
-#, no-wrap
-msgid ""
-" iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN\n"
-" -j TCPMSS --clamp-mss-to-pmtu\n"
-msgstr ""
-" iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN\n"
-" -j TCPMSS --clamp-mss-to-pmtu\n"
-
-#. type: TP
-#, no-wrap
-msgid "B<--set-mss> I<value>"
-msgstr "B<--set-mss> I<value>"
-
-#. type: Plain text
-msgid "Explicitly sets MSS option to specified value. If the MSS of the packet is already lower than I<value>, it will B<not> be increased (from Linux 2.6.25 onwards) to avoid more problems with hosts relying on a proper MSS."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--clamp-mss-to-pmtu>"
-msgstr "B<--clamp-mss-to-pmtu>"
-
-#. type: Plain text
-msgid "Automatically clamp MSS value to (path_MTU - 40 for IPv4; -60 for IPv6). This may not function as desired where asymmetric routes with differing path MTU exist \\(em the kernel uses the path MTU which it would use to send packets from itself to the source and destination IP addresses. Prior to Linux 2.6.25, only the path MTU to the destination IP address was considered by this option; subsequent kernels also consider the path MTU to the source IP address."
-msgstr ""
-
-#. type: Plain text
-msgid "These options are mutually exclusive."
-msgstr "これらのオプションはどちらか 1 つしか指定できない。"
-
-#. type: SS
-#, no-wrap
-msgid "TCPOPTSTRIP"
-msgstr "TCPOPTSTRIP"
-
-#. type: Plain text
-msgid "This target will strip TCP options off a TCP packet. (It will actually replace them by NO-OPs.) As such, you will need to add the B<-p tcp> parameters."
-msgstr "このターゲットは TCP パケットから TCP オプションを削除する (実際には TCPオプションを NO-OP で置き換える)。 このターゲットを使うには B<-p tcp> パラメーターを使う必要があるだろう。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--strip-options> I<option>[B<,>I<option>...]"
-msgstr "B<--strip-options> I<option>[B<,>I<option>...]"
-
-#. type: Plain text
-msgid "Strip the given option(s). The options may be specified by TCP option number or by symbolic name. The list of recognized options can be obtained by calling iptables with B<-j TCPOPTSTRIP -h>."
-msgstr "指定されたオプション (複数可) を削除する。 オプションは TCP オプション番号かシンボル名で指定する。 iptables を B<-j TCPOPTSTRIP -h> で呼び出すと、指定できるオプションのシンボル名を取得できる。"
-
-#. type: SS
-#, no-wrap
-msgid "TEE"
-msgstr "TEE"
-
-#. type: Plain text
-msgid "The B<TEE> target will clone a packet and redirect this clone to another machine on the B<local> network segment. In other words, the nexthop must be the target, or you will have to configure the nexthop to forward it further if so desired."
-msgstr "B<TEE> ターゲットは、 パケットのクローンを作成し、 クローンしたパケットをB<ローカル>ネットワークセグメントにある別のマシンにリダイレクトする。 言い換えると、ネクストホップがターゲットでなければならないということだ。 つまり、必要に応じてネクストホップがさらにパケットを転送するように設定する必要があるということだ。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--gateway> I<ipaddr>"
-msgstr "B<--gateway> I<ipaddr>"
-
-#. type: Plain text
-msgid "Send the cloned packet to the host reachable at the given IP address. Use of 0.0.0.0 (for IPv4 packets) or :: (IPv6) is invalid."
-msgstr "クローンしたパケットを指定した IP アドレスで届くホストに送信する。 (IPv4 の場合) 0.0.0.0、 (IPv6 の場合) :: は無効である。"
-
-#. type: Plain text
-msgid "To forward all incoming traffic on eth0 to an Network Layer logging box:"
-msgstr "eth0 に届いたすべての入力トラフィックをネットワーク層のロギングボックスに転送する。"
-
-#. type: Plain text
-msgid "-t mangle -A PREROUTING -i eth0 -j TEE --gateway 2001:db8::1"
-msgstr "-t mangle -A PREROUTING -i eth0 -j TEE --gateway 2001:db8::1"
-
-#. type: SS
-#, no-wrap
-msgid "TOS"
-msgstr "TOS"
-
-#. type: Plain text
-msgid "This module sets the Type of Service field in the IPv4 header (including the \"precedence\" bits) or the Priority field in the IPv6 header. Note that TOS shares the same bits as DSCP and ECN. The TOS target is only valid in the B<mangle> table."
-msgstr "このモジュールは IPv4 ヘッダーの Type of Service フィールド (上位ビットも含む) や IPv6 ヘッダーの Priority フィールドを設定する。 TOS は DSCP と ECN と同じビットを共有する点に注意すること。 TOS ターゲットは B<mangle> テーブルでのみ有効である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--set-tos> I<value>[B</>I<mask>]"
-msgstr "B<--set-tos> I<value>[B</>I<mask>]"
-
-#. type: Plain text
-msgid "Zeroes out the bits given by I<mask> (see NOTE below) and XORs I<value> into the TOS/Priority field. If I<mask> is omitted, 0xFF is assumed."
-msgstr "I<mask> で指定されたビットを 0 にし (下の「注意」を参照)、 I<value> と TOS/Priority フィールド の XOR を取る。 I<mask> が省略された場合は 0xFF とみなされる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--set-tos> I<symbol>"
-msgstr "B<--set-tos> I<symbol>"
-
-#. type: Plain text
-msgid "You can specify a symbolic name when using the TOS target for IPv4. It implies a mask of 0xFF (see NOTE below). The list of recognized TOS names can be obtained by calling iptables with B<-j TOS -h>."
-msgstr "IPv4 の TOS ターゲットを使用する際にはシンボル名を指定することができる。 暗黙のうち 0xFF が mask として使用される (下の「注意」を参照)。 使用できる TOS 名のリストは iptables を B<-j TOS -h> で呼び出すと取得できる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--and-tos> I<bits>"
-msgstr "B<--and-tos> I<bits>"
-
-#. type: Plain text
-msgid "Binary AND the TOS value with I<bits>. (Mnemonic for B<--set-tos 0/>I<invbits>, where I<invbits> is the binary negation of I<bits>. See NOTE below.)"
-msgstr "TOS 値と I<bits> のビット論理積 (AND) を取る (B<--set-tos 0/>I<invbits> の簡易表現、 I<invbits> は I<bits> のビット単位の否定である。 下の「注意」を参照)"
-
-#. type: TP
-#, no-wrap
-msgid "B<--or-tos> I<bits>"
-msgstr "B<--or-tos> I<bits>"
-
-#. type: Plain text
-msgid "Binary OR the TOS value with I<bits>. (Mnemonic for B<--set-tos> I<bits>B</>I<bits>. See NOTE below.)"
-msgstr "TOS 値と I<bits> のビット論理和 (OR) を取る (B<--set-tos> I<bits>B</>I<bits> の簡易表現。下の「注意」を参照)"
-
-#. type: TP
-#, no-wrap
-msgid "B<--xor-tos> I<bits>"
-msgstr "B<--xor-tos> I<bits>"
-
-#. type: Plain text
-msgid "Binary XOR the TOS value with I<bits>. (Mnemonic for B<--set-tos> I<bits>B</0>. See NOTE below.)"
-msgstr "TOS 値と I<bits> の XOR を取る (B<--set-tos> I<bits>B</0> の簡易表現。下の「注意」を参照)"
-
-#. type: Plain text
-msgid "NOTE: In Linux kernels up to and including 2.6.38, with the exception of longterm releases 2.6.32 (E<gt>=.42), 2.6.33 (E<gt>=.15), and 2.6.35 (E<gt>=.14), there is a bug whereby IPv6 TOS mangling does not behave as documented and differs from the IPv4 version. The TOS mask indicates the bits one wants to zero out, so it needs to be inverted before applying it to the original TOS field. However, the aformentioned kernels forgo the inversion which breaks --set-tos and its mnemonics."
-msgstr "注意: 2.6.38 以前の Linux カーネル (ただし、長期間サポートのリリース 2.6.32 (E<gt>=.42), 2.6.33 (E<gt>=.15), 2.6.35 (E<gt>=.14) 以外) では、 IPv6 TOS mangling がドキュメントに書かれている通りに動作せず、IPv4 バージョンの場合と異なる動作をするというバグがある。 TOS mask はビットが 1 の場合に対応するビットが 0 にすることを指示するので、 元の TOS フィールドに mask を適用する前に反転する必要がある。 しかしながら、 上記のカーネルではこの反転が抜けており --set-tos と関連する簡易表現が正しく動作しない。"
-
-#. type: SS
-#, no-wrap
-msgid "TPROXY"
-msgstr "TPROXY"
-
-#. type: Plain text
-msgid "This target is only valid in the B<mangle> table, in the B<PREROUTING> chain and user-defined chains which are only called from this chain. It redirects the packet to a local socket without changing the packet header in any way. It can also change the mark value which can then be used in advanced routing rules. It takes three options:"
-msgstr "このターゲットは、 B<mangle> テーブルで、 B<PREROUTING> チェインと、 B<PREROUTING> チェインから呼び出される ユーザー定義チェインでのみ有効である。 このターゲットは、 そのパケットをパケットヘッダーを変更せずにそのままローカルソケットにリダイレクトする。 また、 mark 値を変更することもでき、 この mark 値は後で高度なルーティングルールで使用することができる。 このターゲットにはオプションが 3 つある:"
-
-#. type: TP
-#, no-wrap
-msgid "B<--on-port> I<port>"
-msgstr "B<--on-port> I<port>"
-
-#. type: Plain text
-msgid "This specifies a destination port to use. It is a required option, 0 means the new destination port is the same as the original. This is only valid if the rule also specifies B<-p tcp> or B<-p udp>."
-msgstr "このオプションは使用する宛先ポートを指定する。 このオプションは必須で、 0 は宛先ポートが元々の宛先ポートと同じであることを意味する。 ルールが B<-p tcp> または B<-p udp> を指定している場合にのみ有効である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--on-ip> I<address>"
-msgstr "B<--on-ip> I<address>"
-
-#. type: Plain text
-msgid "This specifies a destination address to use. By default the address is the IP address of the incoming interface. This is only valid if the rule also specifies B<-p tcp> or B<-p udp>."
-msgstr "このオプションは使用する宛先アドレスを指定する。 デフォルトでは、 パケットが到着したインタフェースの IP アドレスが使用される。 ルールが B<-p tcp> または B<-p udp> を指定している場合にのみ有効である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--tproxy-mark> I<value>[B</>I<mask>]"
-msgstr "B<--tproxy-mark> I<value>[B</>I<mask>]"
-
-#. type: Plain text
-msgid "Marks packets with the given value/mask. The fwmark value set here can be used by advanced routing. (Required for transparent proxying to work: otherwise these packets will get forwarded, which is probably not what you want.)"
-msgstr ""
-
-#. type: SS
-#, no-wrap
-msgid "TRACE"
-msgstr "TRACE"
-
-#. type: Plain text
-msgid "This target marks packets so that the kernel will log every rule which match the packets as those traverse the tables, chains, rules."
-msgstr ""
-
-#. type: Plain text
-msgid "A logging backend, such as ip(6)t_LOG or nfnetlink_log, must be loaded for this to be visible. The packets are logged with the string prefix: \"TRACE: tablename:chainname:type:rulenum \" where type can be \"rule\" for plain rule, \"return\" for implicit rule at the end of a user defined chain and \"policy\" for the policy of the built in chains."
-msgstr ""
-
-#. type: Plain text
-msgid "It can only be used in the B<raw> table."
-msgstr ""
-
-#. type: SS
-#, no-wrap
-msgid "TTL (IPv4-specific)"
-msgstr "TTL (IPv4 の場合)"
-
-#. type: Plain text
-msgid "This is used to modify the IPv4 TTL header field. The TTL field determines how many hops (routers) a packet can traverse until it's time to live is exceeded."
-msgstr "このターゲットを使うと、 IPv4 の TTL ヘッダーフィールドを変更できる。 TTL フィールドにより、 TTL がなくなるまでに、パケットが何ホップ (何個のルータ) を通過できるかが決定される。"
-
-#. type: Plain text
-msgid "Setting or incrementing the TTL field can potentially be very dangerous, so it should be avoided at any cost. This target is only valid in B<mangle> table."
-msgstr "TTL フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。 したがって、可能な限り避けるべきである。 このターゲットは B<mangle> テーブルでのみ有効である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--ttl-set> I<value>"
-msgstr "B<--ttl-set> I<value>"
-
-#. type: Plain text
-msgid "Set the TTL value to `value'."
-msgstr "TTL 値を `value' に設定する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--ttl-dec> I<value>"
-msgstr "B<--ttl-dec> I<value>"
-
-#. type: Plain text
-msgid "Decrement the TTL value `value' times."
-msgstr "TTL 値を `value' 回減算する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--ttl-inc> I<value>"
-msgstr "B<--ttl-inc> I<value>"
-
-#. type: Plain text
-msgid "Increment the TTL value `value' times."
-msgstr "TTL 値を `value' 回加算する。"
-
-#. type: SS
-#, no-wrap
-msgid "ULOG (IPv4-specific)"
-msgstr "ULOG (IPv4 の場合)"
-
-#. type: Plain text
-msgid "This is the deprecated ipv4-only predecessor of the NFLOG target. It provides userspace logging of matching packets. When this target is set for a rule, the Linux kernel will multicast this packet through a I<netlink> socket. One or more userspace processes may then subscribe to various multicast groups and receive the packets. Like LOG, this is a \"non-terminating target\", i.e. rule traversal continues at the next rule."
-msgstr "このターゲットは NFLOG ターゲットの前身で IPv4 専用である。現在は非推奨となっている。 マッチしたパケットを ユーザー空間でログ記録する機能を提供する。 このターゲットがルールに設定されると、 Linux カーネルは、 そのパケットを I<netlink> ソケットを用いてマルチキャストする。 そして、 1 つ以上のユーザー空間プロセスが いろいろなマルチキャストグループに登録をおこない、 パケットを受信する。 LOG と同様、 これは \"非終了ターゲット\" であり、 ルールの探索は次のルールへと継続される。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--ulog-nlgroup> I<nlgroup>"
-msgstr "B<--ulog-nlgroup> I<nlgroup>"
-
-#. type: Plain text
-msgid "This specifies the netlink group (1-32) to which the packet is sent. Default value is 1."
-msgstr "パケットを送信する netlink グループ (1-32) を指定する。 デフォルトの値は 1 である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--ulog-prefix> I<prefix>"
-msgstr "B<--ulog-prefix> I<prefix>"
-
-#. type: Plain text
-msgid "Prefix log messages with the specified prefix; up to 32 characters long, and useful for distinguishing messages in the logs."
-msgstr "指定したプレフィックスをログメッセージの前に付ける。 32 文字までの指定できる。 ログの中でメッセージを区別するのに便利である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--ulog-cprange> I<size>"
-msgstr "B<--ulog-cprange> I<size>"
-
-#. type: Plain text
-msgid "Number of bytes to be copied to userspace. A value of 0 always copies the entire packet, regardless of its size. Default is 0."
-msgstr "ユーザー空間にコピーするパケットのバイト数。 値が 0 の場合、 サイズに関係なく全パケットをコピーする。 デフォルトは 0 である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--ulog-qthreshold> I<size>"
-msgstr "B<--ulog-qthreshold> I<size>"
-
-#. type: Plain text
-msgid "Number of packet to queue inside kernel. Setting this value to, e.g. 10 accumulates ten packets inside the kernel and transmits them as one netlink multipart message to userspace. Default is 1 (for backwards compatibility)."
-msgstr "カーネル内部のキューに入れられるパケットの数。 例えば、 この値を 10 にした場合、 カーネル内部で 10 個のパケットをまとめ、 1 つの netlink マルチパートメッセージとしてユーザー空間に送る。 (過去のものとの互換性のため) デフォルトは 1 である。"
+++ /dev/null
-# SOME DESCRIPTIVE TITLE
-# Copyright (C) YEAR Free Software Foundation, Inc.
-# This file is distributed under the same license as the PACKAGE package.
-# FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.
-#
-msgid ""
-msgstr ""
-"Project-Id-Version: PACKAGE VERSION\n"
-"POT-Creation-Date: 2014-05-07 04:08+0900\n"
-"PO-Revision-Date: 2014-05-07 04:21+0900\n"
-"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
-"Language-Team: LANGUAGE <LL@li.org>\n"
-"Language: \n"
-"MIME-Version: 1.0\n"
-"Content-Type: text/plain; charset=UTF-8\n"
-"Content-Transfer-Encoding: 8bit\n"
-
-#. type: TH
-#, no-wrap
-msgid "IPTABLES-RESTORE"
-msgstr "IPTABLES-RESTORE"
-
-#. type: TH
-#, no-wrap
-msgid "iptables 1.4.21"
-msgstr "iptables 1.4.21"
-
-#. Man page written by Harald Welte <laforge@gnumonks.org>
-#. It is based on the iptables man page.
-#. This program is free software; you can redistribute it and/or modify
-#. it under the terms of the GNU General Public License as published by
-#. the Free Software Foundation; either version 2 of the License, or
-#. (at your option) any later version.
-#. This program is distributed in the hope that it will be useful,
-#. but WITHOUT ANY WARRANTY; without even the implied warranty of
-#. MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-#. GNU General Public License for more details.
-#. You should have received a copy of the GNU General Public License
-#. along with this program; if not, write to the Free Software
-#. Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-#. type: SH
-#, no-wrap
-msgid "NAME"
-msgstr "名前"
-
-#. type: Plain text
-msgid "iptables-restore \\(em Restore IP Tables"
-msgstr "iptables-restore \\(em IP テーブルを復元する"
-
-#. type: Plain text
-msgid "ip6tables-restore \\(em Restore IPv6 Tables"
-msgstr "ip6tables-restore \\(em IPv6 テーブルを復元する"
-
-#. type: SH
-#, no-wrap
-msgid "SYNOPSIS"
-msgstr "書式"
-
-#. type: Plain text
-msgid "B<iptables-restore> [B<-chntv>] [B<-M> I<modprobe>]"
-msgstr "B<iptables-restore> [B<-chntv>] [B<-M> I<modprobe>]"
-
-#. type: Plain text
-msgid "B<ip6tables-restore> [B<-chntv>] [B<-M> I<modprobe>] [B<-T> I<name>]"
-msgstr "B<ip6tables-restore> [B<-chntv>] [B<-M> I<modprobe>] [B<-T> I<name>]"
-
-#. type: SH
-#, no-wrap
-msgid "DESCRIPTION"
-msgstr "説明"
-
-#. type: Plain text
-msgid "B<iptables-restore> and B<ip6tables-restore> are used to restore IP and IPv6 Tables from data specified on STDIN. Use I/O redirection provided by your shell to read from a file"
-msgstr "B<iptables-restore> と B<ip6tables-restore> は標準入力で指定されたデータから IP/IPv6 テーブルを復元するために使われる。 ファイルから読み込むためには、 シェルで提供されている I/O リダイレクションを使うこと。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-c>, B<--counters>"
-msgstr "B<-c>, B<--counters>"
-
-#. type: Plain text
-msgid "restore the values of all packet and byte counters"
-msgstr "全てのパケットカウンタとバイトカウンタの値を復元する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-h>, B<--help>"
-msgstr "B<-h>, B<--help>"
-
-#. type: Plain text
-msgid "Print a short option summary."
-msgstr "簡潔なオプション一覧を表示する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-n>, B<--noflush>"
-msgstr "B<-n>, B<--noflush>"
-
-#. type: Plain text
-msgid "don't flush the previous contents of the table. If not specified, both commands flush (delete) all previous contents of the respective table."
-msgstr "これまでのテーブルの内容をフラッシュしない。 指定されない場合、 どちらのコマンドもこれまでの各テーブルの内容を全てフラッシュ (削除) する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-t>, B<--test>"
-msgstr "B<-t>, B<--test>"
-
-#. type: Plain text
-msgid "Only parse and construct the ruleset, but do not commit it."
-msgstr "ルールセットの解釈と構築のみを行い、適用は行わない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-v>, B<--verbose>"
-msgstr "B<-v>, B<--verbose>"
-
-#. type: Plain text
-msgid "Print additional debug info during ruleset processing."
-msgstr "ルールセットの処理中に追加のデバッグ情報を表示する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-M>, B<--modprobe> I<modprobe_program>"
-msgstr "B<-M>, B<--modprobe> I<modprobe_program>"
-
-#. type: Plain text
-msgid "Specify the path to the modprobe program. By default, iptables-restore will inspect /proc/sys/kernel/modprobe to determine the executable's path."
-msgstr "modprobe プログラムのパスを指定する。デフォルトでは、 iptables-restore は /proc/sys/kernel/modprobe の内容を確認して実行ファイルのパスを決定する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-T>, B<--table> I<name>"
-msgstr "B<-T>, B<--table> I<name>"
-
-#. type: Plain text
-msgid "Restore only the named table even if the input stream contains other ones."
-msgstr "入力ストリームに他のテーブルの情報が含まれている場合でも、指定されたテーブルについてのみ復元を行う。"
-
-#. type: SH
-#, no-wrap
-msgid "BUGS"
-msgstr "バグ"
-
-#. type: Plain text
-msgid "None known as of iptables-1.2.1 release"
-msgstr "iptables-1.2.1 リリースでは知られていない。"
-
-#. type: SH
-#, no-wrap
-msgid "AUTHORS"
-msgstr "作者"
-
-#. type: Plain text
-msgid "Harald Welte E<lt>laforge@gnumonks.orgE<gt> wrote iptables-restore based on code from Rusty Russell."
-msgstr "Harald Welte E<lt>laforge@gnumonks.orgE<gt> は Rusty Russell のコードを元に iptables-restore を書いた。"
-
-#. type: Plain text
-msgid "Andras Kis-Szabo E<lt>kisza@sch.bme.huE<gt> contributed ip6tables-restore."
-msgstr "Andras Kis-Szabo E<lt>kisza@sch.bme.huE<gt> は ip6tables-restore に貢献した。"
-
-#. type: SH
-#, no-wrap
-msgid "SEE ALSO"
-msgstr "関連項目"
-
-#. type: Plain text
-msgid "B<iptables-save>(8), B<iptables>(8)"
-msgstr "B<iptables-save>(8), B<iptables>(8)"
-
-#. type: Plain text
-msgid "The iptables-HOWTO, which details more iptables usage, the NAT-HOWTO, which details NAT, and the netfilter-hacking-HOWTO which details the internals."
-msgstr "より多くの iptables の使用法について 詳細に説明している iptables-HOWTO。 NAT について詳細に説明している NAT-HOWTO。 内部構造について詳細に説明している netfilter-hacking-HOWTO。"
+++ /dev/null
-# SOME DESCRIPTIVE TITLE
-# Copyright (C) YEAR Free Software Foundation, Inc.
-# This file is distributed under the same license as the PACKAGE package.
-# FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.
-#
-msgid ""
-msgstr ""
-"Project-Id-Version: PACKAGE VERSION\n"
-"POT-Creation-Date: 2014-05-07 04:08+0900\n"
-"PO-Revision-Date: 2014-05-07 04:18+0900\n"
-"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
-"Language-Team: LANGUAGE <LL@li.org>\n"
-"Language: \n"
-"MIME-Version: 1.0\n"
-"Content-Type: text/plain; charset=UTF-8\n"
-"Content-Transfer-Encoding: 8bit\n"
-
-#. type: TH
-#, no-wrap
-msgid "IPTABLES-SAVE"
-msgstr "IPTABLES-SAVE"
-
-#. type: TH
-#, no-wrap
-msgid "iptables 1.4.21"
-msgstr "iptables 1.4.21"
-
-#. Man page written by Harald Welte <laforge@gnumonks.org>
-#. It is based on the iptables man page.
-#. This program is free software; you can redistribute it and/or modify
-#. it under the terms of the GNU General Public License as published by
-#. the Free Software Foundation; either version 2 of the License, or
-#. (at your option) any later version.
-#. This program is distributed in the hope that it will be useful,
-#. but WITHOUT ANY WARRANTY; without even the implied warranty of
-#. MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-#. GNU General Public License for more details.
-#. You should have received a copy of the GNU General Public License
-#. along with this program; if not, write to the Free Software
-#. Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-#. type: SH
-#, no-wrap
-msgid "NAME"
-msgstr "名前"
-
-#. type: Plain text
-msgid "iptables-save \\(em dump iptables rules to stdout"
-msgstr "iptables-save \\(em iptables ルールを標準出力にダンプする"
-
-#. type: Plain text
-msgid "ip6tables-save \\(em dump iptables rules to stdout"
-msgstr "ip6tables-save \\(em iptables ルールを標準出力にダンプする"
-
-#. type: SH
-#, no-wrap
-msgid "SYNOPSIS"
-msgstr "書式"
-
-#. type: Plain text
-msgid "B<iptables-save> [B<-M> I<modprobe>] [B<-c>] [B<-t> I<table>]"
-msgstr "B<iptables-save> [B<-M> I<modprobe>] [B<-c>] [B<-t> I<table>]"
-
-#. type: Plain text
-msgid "B<ip6tables-save> [B<-M> I<modprobe>] [B<-c>] [B<-t> I<table>"
-msgstr "B<ip6tables-save> [B<-M> I<modprobe>] [B<-c>] [B<-t> I<table>]"
-
-#. type: SH
-#, no-wrap
-msgid "DESCRIPTION"
-msgstr "説明"
-
-#. type: Plain text
-msgid "B<iptables-save> and B<ip6tables-save> are used to dump the contents of IP or IPv6 Table in easily parseable format to STDOUT. Use I/O-redirection provided by your shell to write to a file."
-msgstr "B<iptables-save> と B<ip6tables-save> は IP/IPv6 テーブルの内容を簡単に解析できる形式で 標準出力にダンプするために使われる。 ファイルに書き出すためには、 シェルで提供されている I/O リダイレクションを使うこと。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-M> I<modprobe_program>"
-msgstr "B<-M> I<modprobe_program>"
-
-#. type: Plain text
-msgid "Specify the path to the modprobe program. By default, iptables-save will inspect /proc/sys/kernel/modprobe to determine the executable's path."
-msgstr "modprobe プログラムのパスを指定する。デフォルトでは、 iptables-save は /proc/sys/kernel/modprobe の内容を確認して実行ファイルのパスを決定する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-c>, B<--counters>"
-msgstr "B<-c>, B<--counters>"
-
-#. type: Plain text
-msgid "include the current values of all packet and byte counters in the output"
-msgstr "全てのパケットカウンタとバイトカウンタの現在の値を出力する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-t>, B<--table> I<tablename>"
-msgstr "B<-t>, B<--table> I<tablename>"
-
-#. type: Plain text
-msgid "restrict output to only one table. If not specified, output includes all available tables."
-msgstr "出力を 1 つのテーブルのみに制限する。 指定されない場合、得られた全てのテーブルを出力する。"
-
-#. type: SH
-#, no-wrap
-msgid "BUGS"
-msgstr "バグ"
-
-#. type: Plain text
-msgid "None known as of iptables-1.2.1 release"
-msgstr "iptables-1.2.1 リリースでは知られていない。"
-
-#. type: SH
-#, no-wrap
-msgid "AUTHORS"
-msgstr "作者"
-
-#. type: Plain text
-msgid "Harald Welte E<lt>laforge@gnumonks.orgE<gt>"
-msgstr "Harald Welte E<lt>laforge@gnumonks.orgE<gt>"
-
-#. type: Plain text
-msgid "Rusty Russell E<lt>rusty@rustcorp.com.auE<gt>"
-msgstr "Rusty Russell E<lt>rusty@rustcorp.com.auE<gt>"
-
-#. type: Plain text
-msgid "Andras Kis-Szabo E<lt>kisza@sch.bme.huE<gt> contributed ip6tables-save."
-msgstr "Andras Kis-Szabo E<lt>kisza@sch.bme.huE<gt> は ip6tables-save に貢献した。"
-
-#. type: SH
-#, no-wrap
-msgid "SEE ALSO"
-msgstr "関連項目"
-
-#. type: Plain text
-msgid "B<iptables-restore>(8), B<iptables>(8)"
-msgstr "B<iptables-restore>(8), B<iptables>(8)"
-
-#. type: Plain text
-msgid "The iptables-HOWTO, which details more iptables usage, the NAT-HOWTO, which details NAT, and the netfilter-hacking-HOWTO which details the internals."
-msgstr "より多くの iptables の使用法について 詳細に説明している iptables-HOWTO。 NAT について詳細に説明している NAT-HOWTO。 内部構造について詳細に説明している netfilter-hacking-HOWTO。"
+++ /dev/null
-# SOME DESCRIPTIVE TITLE
-# Copyright (C) YEAR Free Software Foundation, Inc.
-# This file is distributed under the same license as the PACKAGE package.
-# FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.
-#
-msgid ""
-msgstr ""
-"Project-Id-Version: PACKAGE VERSION\n"
-"POT-Creation-Date: 2014-05-07 04:08+0900\n"
-"PO-Revision-Date: 2014-05-07 04:42+0900\n"
-"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
-"Language-Team: LANGUAGE <LL@li.org>\n"
-"Language: \n"
-"MIME-Version: 1.0\n"
-"Content-Type: text/plain; charset=UTF-8\n"
-"Content-Transfer-Encoding: 8bit\n"
-
-#. type: TH
-#, no-wrap
-msgid "IPTABLES"
-msgstr "IPTABLES"
-
-#. type: TH
-#, no-wrap
-msgid "iptables 1.4.21"
-msgstr "iptables 1.4.21"
-
-#. Man page written by Herve Eychenne <rv@wallfire.org> (May 1999)
-#. It is based on ipchains page.
-#. TODO: add a word for protocol helpers (FTP, IRC, SNMP-ALG)
-#. ipchains page by Paul ``Rusty'' Russell March 1997
-#. Based on the original ipfwadm man page by Jos Vos <jos@xos.nl>
-#. This program is free software; you can redistribute it and/or modify
-#. it under the terms of the GNU General Public License as published by
-#. the Free Software Foundation; either version 2 of the License, or
-#. (at your option) any later version.
-#. This program is distributed in the hope that it will be useful,
-#. but WITHOUT ANY WARRANTY; without even the implied warranty of
-#. MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-#. GNU General Public License for more details.
-#. You should have received a copy of the GNU General Public License
-#. along with this program; if not, write to the Free Software
-#. Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-#. type: SH
-#, no-wrap
-msgid "NAME"
-msgstr "名前"
-
-#. type: Plain text
-msgid "iptables/ip6tables \\(em administration tool for IPv4/IPv6 packet filtering and NAT"
-msgstr "iptables/ip6tables \\(em IPv4/IPv6 のパケットフィルタと NAT の管理ツール"
-
-#. type: SH
-#, no-wrap
-msgid "SYNOPSIS"
-msgstr "書式"
-
-#. type: Plain text
-msgid "B<iptables> [B<-t> I<table>] {B<-A>|B<-C>|B<-D>} I<chain> I<rule-specification>"
-msgstr "B<iptables> [B<-t> I<table>] {B<-A>|B<-C>|B<-D>} I<chain> I<rule-specification>"
-
-#. type: Plain text
-msgid "B<ip6tables> [B<-t> I<table>] {B<-A>|B<-C>|B<-D>} I<chain rule-specification>"
-msgstr "B<ip6tables> [B<-t> I<table>] {B<-A>|B<-C>|B<-D>} I<chain rule-specification>"
-
-#. type: Plain text
-msgid "B<iptables> [B<-t> I<table>] B<-I> I<chain> [I<rulenum>] I<rule-specification>"
-msgstr "B<iptables> [B<-t> I<table>] B<-I> I<chain> [I<rulenum>] I<rule-specification>"
-
-#. type: Plain text
-msgid "B<iptables> [B<-t> I<table>] B<-R> I<chain rulenum rule-specification>"
-msgstr "B<iptables> [B<-t> I<table>] B<-R> I<chain rulenum rule-specification>"
-
-#. type: Plain text
-msgid "B<iptables> [B<-t> I<table>] B<-D> I<chain rulenum>"
-msgstr "B<iptables> [B<-t> I<table>] B<-D> I<chain rulenum>"
-
-#. type: Plain text
-msgid "B<iptables> [B<-t> I<table>] B<-S> [I<chain> [I<rulenum>]]"
-msgstr "B<iptables> [B<-t> I<table>] B<-S> [I<chain> [I<rulenum>]]"
-
-#. type: Plain text
-msgid "B<iptables> [B<-t> I<table>] {B<-F>|B<-L>|B<-Z>} [I<chain> [I<rulenum>]] [I<options...>]"
-msgstr "B<iptables> [B<-t> I<table>] {B<-F>|B<-L>|B<-Z>} [I<chain> [I<rulenum>]] [I<options...>]"
-
-#. type: Plain text
-msgid "B<iptables> [B<-t> I<table>] B<-N> I<chain>"
-msgstr "B<iptables> [B<-t> I<table>] B<-N> I<chain>"
-
-#. type: Plain text
-msgid "B<iptables> [B<-t> I<table>] B<-X> [I<chain>]"
-msgstr "B<iptables> [B<-t> I<table>] B<-X> [I<chain>]"
-
-#. type: Plain text
-msgid "B<iptables> [B<-t> I<table>] B<-P> I<chain target>"
-msgstr "B<iptables> [B<-t> I<table>] B<-P> I<chain target>"
-
-#. type: Plain text
-msgid "B<iptables> [B<-t> I<table>] B<-E> I<old-chain-name new-chain-name>"
-msgstr "B<iptables> [B<-t> I<table>] B<-E> I<old-chain-name new-chain-name>"
-
-#. type: Plain text
-msgid "rule-specification = [I<matches...>] [I<target>]"
-msgstr "rule-specification = [I<matches...>] [I<target>]"
-
-#. type: Plain text
-msgid "match = B<-m> I<matchname> [I<per-match-options>]"
-msgstr "match = B<-m> I<matchname> [I<per-match-options>]"
-
-#. type: Plain text
-msgid "target = B<-j> I<targetname> [I<per-target-options>]"
-msgstr "target = B<-j> I<targetname> [I<per-target-options>]"
-
-#. type: SH
-#, no-wrap
-msgid "DESCRIPTION"
-msgstr "説明"
-
-#. type: Plain text
-msgid "B<Iptables> and B<ip6tables> are used to set up, maintain, and inspect the tables of IPv4 and IPv6 packet filter rules in the Linux kernel. Several different tables may be defined. Each table contains a number of built-in chains and may also contain user-defined chains."
-msgstr "B<iptables> と B<ip6tables> は Linux カーネルの IPv4/IPv6 パケットフィルタルールのテーブルの設定・管理・検査に使用される。 複数の異なるテーブルを定義できる。 各テーブルには数個の組み込みチェインがあり、 さらにユーザー定義のチェインを加えることもできる。"
-
-#. type: Plain text
-msgid "Each chain is a list of rules which can match a set of packets. Each rule specifies what to do with a packet that matches. This is called a `target', which may be a jump to a user-defined chain in the same table."
-msgstr "各チェインは、パケット群にマッチするルールのリストである。 各ルールはマッチしたパケットに対する処理を規定する。 パケットに対する処理は「ターゲット」と呼ばれ、 同じテーブル内のユーザー定義チェインにジャンプすることもできる。"
-
-#. type: SH
-#, no-wrap
-msgid "TARGETS"
-msgstr "ターゲット"
-
-#. type: Plain text
-msgid "A firewall rule specifies criteria for a packet and a target. If the packet does not match, the next rule in the chain is examined; if it does match, then the next rule is specified by the value of the target, which can be the name of a user-defined chain, one of the targets described in B<iptables-extensions>(8), or one of the special values B<ACCEPT>, B<DROP> or B<RETURN>."
-msgstr "ファイアウォールのルールでは、 パケットのマッチ条件とターゲットを指定する。 パケットがマッチしない場合、 チェイン内の次のルールが評価される。 パケットがマッチした場合、 ターゲットの値によって次のルールが指定される。 ターゲットの値には、 ユーザー定義チェインの名前、 B<iptables-extensions>(8) に説明があるターゲットのいずれか、 もしくは特別な値 B<ACCEPT>, B<DROP>, B<RETURN> のいずれかを指定する。"
-
-#. type: Plain text
-msgid "B<ACCEPT> means to let the packet through. B<DROP> means to drop the packet on the floor. B<RETURN> means stop traversing this chain and resume at the next rule in the previous (calling) chain. If the end of a built-in chain is reached or a rule in a built-in chain with target B<RETURN> is matched, the target specified by the chain policy determines the fate of the packet."
-msgstr "B<ACCEPT> はパケット通過、 B<DROP> はパケット廃棄を意味する。 B<RETURN> は、このチェインを辿るのを中止して、 前の (呼び出し元) チェインの次のルールから再開するという意味である。 組み込みチェインの最後に到達した場合、 または組み込みチェインでターゲット B<RETURN> を持つルールにマッチした場合、 パケットをどのように処理するかは、そのチェインのポリシーで指定されたターゲットにより決まる。"
-
-#. type: SH
-#, no-wrap
-msgid "TABLES"
-msgstr "テーブル"
-
-#. type: Plain text
-msgid "There are currently five independent tables (which tables are present at any time depends on the kernel configuration options and which modules are present)."
-msgstr "現在のところ 5 つの独立なテーブルが存在する (ある時点でどのテーブルが存在するかは、 カーネルの設定やどういったモジュールが存在するかに依存する)。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-t>, B<--table> I<table>"
-msgstr "B<-t>, B<--table> I<table>"
-
-#. type: Plain text
-msgid "This option specifies the packet matching table which the command should operate on. If the kernel is configured with automatic module loading, an attempt will be made to load the appropriate module for that table if it is not already there."
-msgstr "このコマンドで操作するパケットマッチングテーブルを指定する。 カーネルで自動モジュールローディングが有効になっている場合、 そのテーブルで必要となるモジュールがまだロードされていなければ、 ロードされる。"
-
-#. type: Plain text
-msgid "The tables are as follows:"
-msgstr "以下のテーブルがある。"
-
-#. type: TP
-#, no-wrap
-msgid "B<filter>:"
-msgstr "B<filter>:"
-
-#. type: Plain text
-msgid "This is the default table (if no -t option is passed). It contains the built-in chains B<INPUT> (for packets destined to local sockets), B<FORWARD> (for packets being routed through the box), and B<OUTPUT> (for locally-generated packets)."
-msgstr "(-t オプションが指定されていない場合は) このテーブルがデフォルトとなる。 このテーブルには、 B<INPUT> (ローカルマシンのソケット宛のパケットに対するチェイン)、 B<FORWARD> (マシンを経由して転送されるパケットに対するチェイン)、 B<OUTPUT> (ローカルマシンで生成されたパケットに対するチェイン) という組み込みチェインがある。"
-
-#. type: TP
-#, no-wrap
-msgid "B<nat>:"
-msgstr "B<nat>:"
-
-#. type: Plain text
-msgid "This table is consulted when a packet that creates a new connection is encountered. It consists of three built-ins: B<PREROUTING> (for altering packets as soon as they come in), B<OUTPUT> (for altering locally-generated packets before routing), and B<POSTROUTING> (for altering packets as they are about to go out). IPv6 NAT support is available since kernel 3.7."
-msgstr "このテーブルは新しい接続を開くパケットの場合に参照される。 B<PREROUTING> (パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)、 B<OUTPUT> (ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)、 B<POSTROUTING> (パケットが出て行くときに変換するためのチェイン) という 3 つの組み込みチェインがある。 IPv6 NAT サポートはカーネル 3.7 以降で利用できる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<mangle>:"
-msgstr "B<mangle>:"
-
-#. type: Plain text
-msgid "This table is used for specialized packet alteration. Until kernel 2.4.17 it had two built-in chains: B<PREROUTING> (for altering incoming packets before routing) and B<OUTPUT> (for altering locally-generated packets before routing). Since kernel 2.4.18, three other built-in chains are also supported: B<INPUT> (for packets coming into the box itself), B<FORWARD> (for altering packets being routed through the box), and B<POSTROUTING> (for altering packets as they are about to go out)."
-msgstr "このテーブルは特別なパケット変換に使われる。 カーネル 2.4.17 までは、組み込みチェインは B<PREROUTING> (パケットが入ってきた場合、 すぐにそのパケットを変換するためのチェイン)、 B<OUTPUT> (ローカルで生成されたパケットを ルーティングの前に変換するためのチェイン) の 2 つであった。 カーネル 2.4.18 からは、これらに加えて B<INPUT> (マシン自体に入ってくるパケットに対するチェイン)、 B<FORWARD> (マシンを経由するパケットに対するチェイン)、 B<POSTROUTING> (パケットが出て行くときに変換するためのチェイン) の 3 つの組み込みチェインもサポートされている。"
-
-#. type: TP
-#, no-wrap
-msgid "B<raw>:"
-msgstr "B<raw>:"
-
-#. type: Plain text
-msgid "This table is used mainly for configuring exemptions from connection tracking in combination with the NOTRACK target. It registers at the netfilter hooks with higher priority and is thus called before ip_conntrack, or any other IP tables. It provides the following built-in chains: B<PREROUTING> (for packets arriving via any network interface) B<OUTPUT> (for packets generated by local processes)"
-msgstr "このテーブルは、NOTRACK ターゲットとの組み合わせで使用され、接続追跡 (connection tracking) の対象外とする通信を設定するのに使われる。このテーブルは netfilter フックに優先度高で登録されているので、 ip_conntrack や他の IP テーブルよりも前に呼ばれる。 このテーブルでは、 B<PREROUTING> (任意のネットワークインタフェースから到着するパケットに対するチェイン)、 B<OUTPUT> (ローカルプロセスが生成したパケットに対するチェイン) の 2 つの組み込みチェインが提供されている。"
-
-#. type: TP
-#, no-wrap
-msgid "B<security>:"
-msgstr "B<security>:"
-
-#. type: Plain text
-msgid "This table is used for Mandatory Access Control (MAC) networking rules, such as those enabled by the B<SECMARK> and B<CONNSECMARK> targets. Mandatory Access Control is implemented by Linux Security Modules such as SELinux. The security table is called after the filter table, allowing any Discretionary Access Control (DAC) rules in the filter table to take effect before MAC rules. This table provides the following built-in chains: B<INPUT> (for packets coming into the box itself), B<OUTPUT> (for altering locally-generated packets before routing), and B<FORWARD> (for altering packets being routed through the box)."
-msgstr "このテーブルは、強制アクセス制御 (Mandatory Access Control; MAC) のネットワークルール用に使用される。 例えば、 B<SECMARK> や B<CONNSECMARK> ターゲットにより有効にされるルールなどである。 強制アクセス制御は、 SELinux などの Linux セキュリティモジュールにより実装されている。 セキュリティテーブルは filter テーブルの後に呼ばれる。 これにより、 強制アクセス制御のルールよりも前に、 filter テーブルの任意アクセス制御 (Discretionary Access Control; DAC) のルールを適用することができる。 このテーブルでは、 B<INPUT> (マシン自体に入ってくるパケットに対するチェイン)、 B<OUTPUT> (ローカルマシンで生成されたパケットに対してルーティング前に変更を行うためのチェイン)、 B<FORWARD> (マシンを経由して転送されるパケットに対してルーティング前に変更を行うためのチェイン) の 3 つの組み込みチェインが提供されている。"
-
-#. type: SH
-#, no-wrap
-msgid "OPTIONS"
-msgstr "オプション"
-
-#. type: Plain text
-msgid "The options that are recognized by B<iptables> and B<ip6tables> can be divided into several different groups."
-msgstr "B<iptables> と B<ip6tables> で使えるオプションは、いくつかのグループに分けられる。"
-
-#. type: SS
-#, no-wrap
-msgid "COMMANDS"
-msgstr "コマンド"
-
-#. type: Plain text
-msgid "These options specify the desired action to perform. Only one of them can be specified on the command line unless otherwise stated below. For long versions of the command and option names, you need to use only enough letters to ensure that B<iptables> can differentiate it from all other options."
-msgstr "これらのオプションは、実行したい動作を指定する。 以下の説明で注記されていない限り、 コマンドラインで指定できるのはこの中の一つだけである。 長いバージョンのコマンド名とオプション名は、 B<iptables> が他のコマンド名やオプション名と区別できる範囲で (後ろの方の文字を省略して) 指定することもできる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-A>, B<--append> I<chain rule-specification>"
-msgstr "B<-A>, B<--append> I<chain rule-specification>"
-
-#. type: Plain text
-msgid "Append one or more rules to the end of the selected chain. When the source and/or destination names resolve to more than one address, a rule will be added for each possible address combination."
-msgstr "選択されたチェインの最後に 1 つ以上のルールを追加する。 送信元や送信先の名前の解決を行って、複数のアドレスに展開された場合は、 可能なアドレスの組合せそれぞれに対してルールが追加される。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-C>, B<--check> I<chain rule-specification>"
-msgstr "B<-C>, B<--check> I<chain rule-specification>"
-
-#. type: Plain text
-msgid "Check whether a rule matching the specification does exist in the selected chain. This command uses the same logic as B<-D> to find a matching entry, but does not alter the existing iptables configuration and uses its exit code to indicate success or failure."
-msgstr "指定したルールにマッチするルールが指定されたチェインにあるかを確認する。 このコマンドでマッチするエントリを探すのに使用されるロジックは B<-D> と同じだが、 既存の iptables 設定は変更されず、終了コードは成功、失敗を示すのに使用される。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-D>, B<--delete> I<chain rule-specification>"
-msgstr "B<-D>, B<--delete> I<chain rule-specification>"
-
-#. type: TP
-#, no-wrap
-msgid "B<-D>, B<--delete> I<chain rulenum>"
-msgstr "B<-D>, B<--delete> I<chain rulenum>"
-
-#. type: Plain text
-msgid "Delete one or more rules from the selected chain. There are two versions of this command: the rule can be specified as a number in the chain (starting at 1 for the first rule) or a rule to match."
-msgstr "選択されたチェインから 1 つ以上のルールを削除する。 このコマンドには 2 つの使い方がある: チェインの中の番号 (最初のルールを 1 とする) を指定する場合と、 マッチするルールを指定する場合である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-I>, B<--insert> I<chain> [I<rulenum>] I<rule-specification>"
-msgstr "B<-I>, B<--insert> I<chain> [I<rulenum>] I<rule-specification>"
-
-#. type: Plain text
-msgid "Insert one or more rules in the selected chain as the given rule number. So, if the rule number is 1, the rule or rules are inserted at the head of the chain. This is also the default if no rule number is specified."
-msgstr "選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。 ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。 ルール番号が指定されなかった場合、ルール番号のデフォルトは 1 となる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-R>, B<--replace> I<chain rulenum rule-specification>"
-msgstr "B<-R>, B<--replace> I<chain rulenum rule-specification>"
-
-#. type: Plain text
-msgid "Replace a rule in the selected chain. If the source and/or destination names resolve to multiple addresses, the command will fail. Rules are numbered starting at 1."
-msgstr "選択されたチェインのルールを置き換える。 送信元や送信先の名前が複数のアドレスに展開された場合は、このコマンドは失敗する。 ルール番号は 1 からはじまる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-L>, B<--list> [I<chain>]"
-msgstr "B<-L>, B<--list> [I<chain>]"
-
-#. type: Plain text
-msgid "List all rules in the selected chain. If no chain is selected, all chains are listed. Like every other iptables command, it applies to the specified table (filter is the default), so NAT rules get listed by"
-msgstr "選択されたチェインにある全てのルールを一覧表示する。 チェインが指定されない場合、全てのチェインのリストが一覧表示される。 他のコマンドと同様に、指定されたテーブル (デフォルトは filter) に対して作用する。 NAT ルールを表示するには以下のようにする。"
-
-#. type: Plain text
-#, no-wrap
-msgid " iptables -t nat -n -L\n"
-msgstr " iptables -t nat -n -L\n"
-
-#. type: Plain text
-msgid "Please note that it is often used with the B<-n> option, in order to avoid long reverse DNS lookups. It is legal to specify the B<-Z> (zero) option as well, in which case the chain(s) will be atomically listed and zeroed. The exact output is affected by the other arguments given. The exact rules are suppressed until you use"
-msgstr "DNS の逆引きを避けるために、 B<-n> オプションと共に使用されることがよくある。 B<-Z> (ゼロクリア) オプションを同時に指定することもできる。 この場合、各チェインの表示とゼロクリアは同時に行われ、カウンタ値に抜けが発生することはない。 細かな出力内容は同時に指定された他の引き数により変化する。 以下のように B<-v> オプションを指定しない限り、 ルールの表示は一部省略されたものとなる。"
-
-#. type: Plain text
-#, no-wrap
-msgid " iptables -L -v\n"
-msgstr " iptables -L -v\n"
-
-#. type: TP
-#, no-wrap
-msgid "B<-S>, B<--list-rules> [I<chain>]"
-msgstr "B<-S>, B<--list-rules> [I<chain>]"
-
-#. type: Plain text
-msgid "Print all rules in the selected chain. If no chain is selected, all chains are printed like iptables-save. Like every other iptables command, it applies to the specified table (filter is the default)."
-msgstr "選択されたチェインにある全てのルールを表示する。チェインが指定されない場合、 iptables-save と同じく、 全てのチェインの情報が表示される。 他のコマンド同様、 指定されたテーブル (デフォルトは filter) に対して作用する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-F>, B<--flush> [I<chain>]"
-msgstr "B<-F>, B<--flush> [I<chain>]"
-
-#. type: Plain text
-msgid "Flush the selected chain (all the chains in the table if none is given). This is equivalent to deleting all the rules one by one."
-msgstr "選択されたチェイン (何も指定されなければテーブル内の全てのチェイン) の内容を全消去する。これは全てのルールを 1 個ずつ削除するのと同じである。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-Z>, B<--zero> [I<chain> [I<rulenum>]]"
-msgstr "B<-Z>, B<--zero> [I<chain> [I<rulenum>]]"
-
-#. type: Plain text
-msgid "Zero the packet and byte counters in all chains, or only the given chain, or only the given rule in a chain. It is legal to specify the B<-L>, B<--list> (list) option as well, to see the counters immediately before they are cleared. (See above.)"
-msgstr "全てのチェインのパケットカウンタとバイトカウンタをゼロにする。 チェインやチェイン内のルールが指定された場合には、 指定されたチェインやルールのカウンタだけをゼロにする。 クリアされる直前のカウンタを見るために、 B<-L>, B<--list> (一覧表示) オプションと同時に指定することもできる (上記を参照)。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-N>, B<--new-chain> I<chain>"
-msgstr "B<-N>, B<--new-chain> I<chain>"
-
-#. type: Plain text
-msgid "Create a new user-defined chain by the given name. There must be no target of that name already."
-msgstr "指定した名前のユーザー定義チェインを作成する。 同じ名前のターゲットが存在していてはならない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-X>, B<--delete-chain> [I<chain>]"
-msgstr "B<-X>, B<--delete-chain> [I<chain>]"
-
-#. type: Plain text
-msgid "Delete the optional user-defined chain specified. There must be no references to the chain. If there are, you must delete or replace the referring rules before the chain can be deleted. The chain must be empty, i.e. not contain any rules. If no argument is given, it will attempt to delete every non-builtin chain in the table."
-msgstr "指定したユーザー定義チェインを削除する。 そのチェインが参照されていてはならない。 チェインを削除する前に、そのチェインを参照しているルールを削除するか、別のチェインを参照するようにしなければならない。 チェインは空でなければならない、つまりチェインにルールが登録されていてはいけない。 引き数が指定されなかった場合、テーブルにあるチェインのうち組み込みチェイン以外のものを全て削除する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-P>, B<--policy> I<chain target>"
-msgstr "B<-P>, B<--policy> I<chain target>"
-
-#. type: Plain text
-msgid "Set the policy for the chain to the given target. See the section B<TARGETS> for the legal targets. Only built-in (non-user-defined) chains can have policies, and neither built-in nor user-defined chains can be policy targets."
-msgstr "チェインのポリシーを指定したターゲットに設定する。指定可能なターゲットは「B<ターゲット>」の章を参照すること。 (ユーザー定義ではない) 組み込みチェインにしかポリシーは設定できない。 また、ポリシーのターゲットに、 組み込みチェインやユーザー定義チェインを設定することはできない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-E>, B<--rename-chain> I<old-chain new-chain>"
-msgstr "B<-E>, B<--rename-chain> I<old-chain new-chain>"
-
-#. type: Plain text
-msgid "Rename the user specified chain to the user supplied name. This is cosmetic, and has no effect on the structure of the table."
-msgstr "ユーザー定義チェインを指定した名前に変更する。 これは見た目だけの変更なので、テーブルの構造には何も影響しない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-h>"
-msgstr "B<-h>"
-
-#. type: Plain text
-msgid "Help. Give a (currently very brief) description of the command syntax."
-msgstr "ヘルプ。 (今のところはとても簡単な) コマンド書式の説明を表示する。"
-
-#. type: SS
-#, no-wrap
-msgid "PARAMETERS"
-msgstr "パラメータ"
-
-#. type: Plain text
-msgid "The following parameters make up a rule specification (as used in the add, delete, insert, replace and append commands)."
-msgstr "以下のパラメータは (add, delete, insert, replace, append コマンドで用いられて) ルールの仕様を決める。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-4>, B<--ipv4>"
-msgstr "B<-4>, B<--ipv4>"
-
-#. type: Plain text
-msgid "This option has no effect in iptables and iptables-restore. If a rule using the B<-4> option is inserted with (and only with) ip6tables-restore, it will be silently ignored. Any other uses will throw an error. This option allows to put both IPv4 and IPv6 rules in a single rule file for use with both iptables-restore and ip6tables-restore."
-msgstr "このオプションは iptables と iptables-restore では効果を持たない。 B<-4> オプションを使ったルールを ip6tables-restore で挿入された場合、(この場合に限り) そのルールは黙って無視される。それ以外の使い方をした場合はエラーが発生する。このオプションを使うと、 IPv4 と IPv6 の両方のルールを一つのルールファイルに記述し、iptables-restore と ip6tables-restore の両方でそのファイルを使うことができる。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-6>, B<--ipv6>"
-msgstr "B<-6>, B<--ipv6>"
-
-#. type: Plain text
-msgid "If a rule using the B<-6> option is inserted with (and only with) iptables-restore, it will be silently ignored. Any other uses will throw an error. This option allows to put both IPv4 and IPv6 rules in a single rule file for use with both iptables-restore and ip6tables-restore. This option has no effect in ip6tables and ip6tables-restore."
-msgstr "B<-6> オプションを使ったルールを iptables-restore で挿入された場合、(この場合に限り) そのルールは黙って無視される。それ以外の使い方をした場合はエラーが発生する。このオプションを使うと、 IPv4 と IPv6 の両方のルールを一つのルールファイルに記述し、iptables-restore と ip6tables-restore の両方でそのファイルを使うことができる。 このオプションは ip6tables と ip6tables-restore では効果を持たない。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<-p>, B<--protocol> I<protocol>"
-msgstr "[B<!>] B<-p>, B<--protocol> I<protocol>"
-
-#. type: Plain text
-msgid "The protocol of the rule or of the packet to check. The specified protocol can be one of B<tcp>, B<udp>, B<udplite>, B<icmp>, B<icmpv6>,B<esp>, B<ah>, B<sctp>, B<mh> or the special keyword \"B<all>\", or it can be a numeric value, representing one of these protocols or a different one. A protocol name from /etc/protocols is also allowed. A \"!\" argument before the protocol inverts the test. The number zero is equivalent to B<all>. \"B<all>\" will match with all protocols and is taken as default when this option is omitted. Note that, in ip6tables, IPv6 extension headers except B<esp> are not allowed. B<esp> and B<ipv6-nonext> can be used with Kernel version 2.6.11 or later. The number zero is equivalent to B<all>, which means that you cannot test the protocol field for the value 0 directly. To match on a HBH header, even if it were the last, you cannot use B<-p 0>, but always need B<-m hbh>."
-msgstr "ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。 指定できるプロトコルは、 B<tcp>, B<udp>, B<udplite>, B<icmp>, B<esp>, B<ah>, B<sctp> と特別なキーワード B<all> のいずれか 1 つか、または数値である。 数値には、これらのプロトコルのどれか、またはそれ以外のプロトコルを表す数値を指定することができる。 /etc/protocols にあるプロトコル名も指定できる。 プロトコルの前に \"!\" を置くと、そのプロトコルを除外するという意味になる。 数値 0 は B<all> と等しい。 \"B<all>\" は全てのプロトコルとマッチし、このオプションが省略された際のデフォルトである。 ip6tables では、 B<esp> 以外の IPv6 拡張ヘッダは指定できない点に注意。 B<esp> と B<ipv6-nonext> はバージョン 2.6.11 以降のカーネルで使用できる。 数値 0 は B<all> と等しい。 これは、プロトコルフィールドが値 0 であるかを直接検査できないことを意味する。 HBH ヘッダとマッチさせるためには、 HBH ヘッダが例え最後にある場合であっても、 B<-p 0> を使うことはできず、必ず B<-m hbh> を使う必要がある。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<-s>, B<--source> I<address>[B</>I<mask>][B<,>I<...>]"
-msgstr "[B<!>] B<-s>, B<--source> I<address>[B</>I<mask>][B<,>I<...>]"
-
-#. type: Plain text
-msgid "Source specification. I<Address> can be either a network name, a hostname, a network IP address (with B</>I<mask>), or a plain IP address. Hostnames will be resolved once only, before the rule is submitted to the kernel. Please note that specifying any name to be resolved with a remote query such as DNS is a really bad idea. The I<mask> can be either an ipv4 network mask (for iptables) or a plain number, specifying the number of 1's at the left side of the network mask. Thus, an iptables mask of I<24> is equivalent to I<255.255.255.0>. A \"!\" argument before the address specification inverts the sense of the address. The flag B<--src> is an alias for this option. Multiple addresses can be specified, but this will B<expand to multiple rules> (when adding with -A), or will cause multiple rules to be deleted (with -D)."
-msgstr "送信元の指定。 I<address> はホスト名、ネットワーク IP アドレス (B</>I<mask> を指定する)、通常の IP アドレスのいずれかである。ホスト名の解決は、カーネルにルールが登録される前に一度だけ行われる。 DNS のようなリモートへの問い合わせで解決する名前を指定するのは非常に良くないことである。 I<mask> には、IPv4 ネットワークマスクか (iptables の場合)、ネットワークマスクの左側にある 1 の数を表す数値を指定する。つまり、 I<24> という iptables の mask は I<255.255.255.0> と同じである。 アドレス指定の前に \"!\" を置くと、そのアドレスを除外するという意味になる。 フラグ B<--src> は、このオプションの別名である。複数のアドレスを指定することができるが、その場合は (-A での追加であれば) B<複数のルールに展開され>、 (-D での削除であれば) 複数のルールが削除されることになる。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<-d>, B<--destination> I<address>[B</>I<mask>][B<,>I<...>]"
-msgstr "[B<!>] B<-d>, B<--destination> I<address>[B</>I<mask>][B<,>I<...>]"
-
-#. type: Plain text
-msgid "Destination specification. See the description of the B<-s> (source) flag for a detailed description of the syntax. The flag B<--dst> is an alias for this option."
-msgstr "宛先の指定。 書式の詳しい説明については、 B<-s> (送信元) フラグの説明を参照すること。 フラグ B<--dst> は、このオプションの別名である。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-m>, B<--match> I<match>"
-msgstr "B<-m>, B<--match> I<match>"
-
-#. type: Plain text
-msgid "Specifies a match to use, that is, an extension module that tests for a specific property. The set of matches make up the condition under which a target is invoked. Matches are evaluated first to last as specified on the command line and work in short-circuit fashion, i.e. if one extension yields false, evaluation will stop."
-msgstr "使用するマッチ、つまり、特定の通信を検査する拡張モジュールを指定する。 マッチの集合により、ターゲットが起動される条件が構築される。 マッチは先頭から末尾に向けてコマンドラインで指定された順に評価され、 短絡式 (short-circuit fashion) の動作を行う、つまり、いずれの拡張モジュールが偽 (false) を返した場合、そこで評価は終了する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-j>, B<--jump> I<target>"
-msgstr "B<-j>, B<--jump> I<target>"
-
-#. type: Plain text
-msgid "This specifies the target of the rule; i.e., what to do if the packet matches it. The target can be a user-defined chain (other than the one this rule is in), one of the special builtin targets which decide the fate of the packet immediately, or an extension (see B<EXTENSIONS> below). If this option is omitted in a rule (and B<-g> is not used), then matching the rule will have no effect on the packet's fate, but the counters on the rule will be incremented."
-msgstr "ルールのターゲット、 つまり、 パケットがマッチした場合にどうするかを指定する。 ターゲットはユーザー定義チェイン (そのルール自身が入っているチェイン以外) でも、 パケットの行方を即時に決定する特別な組み込みターゲットでも、 拡張ターゲット (以下の 「B<ターゲットの拡張>」 を参照) でもよい。 このオプションがルールの中で省略された場合 (かつ B<-g> が使用されなかった場合)、 ルールにマッチしてもパケットの行方に何も影響しないが、 ルールのカウンタは 1 つ加算される。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-g>, B<--goto> I<chain>"
-msgstr "B<-g>, B<--goto> I<chain>"
-
-#. type: Plain text
-msgid "This specifies that the processing should continue in a user specified chain. Unlike the --jump option return will not continue processing in this chain but instead in the chain that called us via --jump."
-msgstr "ユーザー定義チェインで処理を継続することを指定する。 --jump オプションと異なり、 return が行われた際にこのチェインでの処理は継続されず、 --jump でこのチェインを呼び出したチェインで処理が継続される。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<-i>, B<--in-interface> I<name>"
-msgstr "[B<!>] B<-i>, B<--in-interface> I<name>"
-
-#. type: Plain text
-msgid "Name of an interface via which a packet was received (only for packets entering the B<INPUT>, B<FORWARD> and B<PREROUTING> chains). When the \"!\" argument is used before the interface name, the sense is inverted. If the interface name ends in a \"+\", then any interface which begins with this name will match. If this option is omitted, any interface name will match."
-msgstr "パケットが受信されたインターフェース名 (B<INPUT>, B<FORWARD>, B<PREROUTING> チェインに入るパケットのみ)。 インターフェース名の前に \"!\" を置くと、 そのインターフェースを除外するという意味になる。 インターフェース名が \"+\" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、 任意のインターフェース名にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<-o>, B<--out-interface> I<name>"
-msgstr "[B<!>] B<-o>, B<--out-interface> I<name>"
-
-#. type: Plain text
-msgid "Name of an interface via which a packet is going to be sent (for packets entering the B<FORWARD>, B<OUTPUT> and B<POSTROUTING> chains). When the \"!\" argument is used before the interface name, the sense is inverted. If the interface name ends in a \"+\", then any interface which begins with this name will match. If this option is omitted, any interface name will match."
-msgstr "パケットを送信することになるインターフェース名 (B<FORWARD>, B<OUTPUT>, B<POSTROUTING> チェインに入るパケットのみ)。 インターフェース名の前に \"!\" を置くと、 そのインターフェースを除外するという意味になる。 インターフェース名が \"+\" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、 任意のインターフェース名にマッチする。"
-
-#. type: TP
-#, no-wrap
-msgid "[B<!>] B<-f>, B<--fragment>"
-msgstr "[B<!>] B<-f>, B<--fragment>"
-
-#. type: Plain text
-msgid "This means that the rule only refers to second and further IPv4 fragments of fragmented packets. Since there is no way to tell the source or destination ports of such a packet (or ICMP type), such a packet will not match any rules which specify them. When the \"!\" argument precedes the \"-f\" flag, the rule will only match head fragments, or unfragmented packets. This option is IPv4 specific, it is not available in ip6tables."
-msgstr "IPv4 の分割されたパケット (fragmented packet) のうち 2 番目以降のパケットだけを参照するルールであることを意味する。 このようなパケット (または ICMP タイプのパケット) は 送信元ポートと宛先ポートを知る方法がないので、 送信元ポートや宛先ポートを指定するようなルールにはマッチしない。 \"-f\" フラグの前に \"!\" を置くと、 分割されたパケットのうち最初のフラグメントか、 分割されていないパケットだけにマッチする。 このオプションは IPv4 固有であり、 ip6tables では利用できない。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-c>, B<--set-counters> I<packets bytes>"
-msgstr "B<-c>, B<--set-counters> I<packets bytes>"
-
-#. type: Plain text
-msgid "This enables the administrator to initialize the packet and byte counters of a rule (during B<INSERT>, B<APPEND>, B<REPLACE> operations)."
-msgstr "このオプションを使うと、 (B<insert>, B<append>, B<replace> 操作において) 管理者はパケットカウンタとバイトカウンタを 初期化することができる。"
-
-#. type: SS
-#, no-wrap
-msgid "OTHER OPTIONS"
-msgstr "その他のオプション"
-
-#. type: Plain text
-msgid "The following additional options can be specified:"
-msgstr "その他に以下のオプションを指定することができる:"
-
-#. type: TP
-#, no-wrap
-msgid "B<-v>, B<--verbose>"
-msgstr "B<-v>, B<--verbose>"
-
-#. type: Plain text
-msgid "Verbose output. This option makes the list command show the interface name, the rule options (if any), and the TOS masks. The packet and byte counters are also listed, with the suffix 'K', 'M' or 'G' for 1000, 1,000,000 and 1,000,000,000 multipliers respectively (but see the B<-x> flag to change this). For appending, insertion, deletion and replacement, this causes detailed information on the rule or rules to be printed. B<-v> may be specified multiple times to possibly emit more detailed debug statements."
-msgstr "詳細な出力を行う。 list コマンドの際に、 インターフェース名、 ルールのオプション (ある場合のみ)、 TOS マスクを表示させる。 パケットとバイトカウンタも表示される。 添字 'K', 'M', 'G' は、 それぞれ 1000, 1,000,000, 1,000,000,000 倍を表す (これを変更する B<-x> フラグも見よ)。 このオプションを append, insert, delete, replace コマンドに適用すると、 ルールについての詳細な情報を表示する。 B<-v> は複数回指定することができ、 数が多くなるとより多くのデバッグ情報が出力される。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-w>, B<--wait>"
-msgstr "B<-w>, B<--wait>"
-
-#. type: Plain text
-msgid "Wait for the xtables lock. To prevent multiple instances of the program from running concurrently, an attempt will be made to obtain an exclusive lock at launch. By default, the program will exit if the lock cannot be obtained. This option will make the program wait until the exclusive lock can be obtained."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<-n>, B<--numeric>"
-msgstr "B<-n>, B<--numeric>"
-
-#. type: Plain text
-msgid "Numeric output. IP addresses and port numbers will be printed in numeric format. By default, the program will try to display them as host names, network names, or services (whenever applicable)."
-msgstr "数値による出力を行う。 IP アドレスやポート番号を数値によるフォーマットで表示する。 デフォルトでは、iptables は (可能であれば) IP アドレスやポート番号をホスト名、ネットワーク名、サービス名で表示しようとする。"
-
-#. type: TP
-#, no-wrap
-msgid "B<-x>, B<--exact>"
-msgstr "B<-x>, B<--exact>"
-
-#. type: Plain text
-msgid "Expand numbers. Display the exact value of the packet and byte counters, instead of only the rounded number in K's (multiples of 1000) M's (multiples of 1000K) or G's (multiples of 1000M). This option is only relevant for the B<-L> command."
-msgstr "厳密な数値で表示する。 パケットカウンタとバイトカウンタを、 K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か) ではなく、 厳密な値で表示する。 このオプションは、 B<-L> コマンドの場合のみ意味がある。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--line-numbers>"
-msgstr "B<--line-numbers>"
-
-#. type: Plain text
-msgid "When listing rules, add line numbers to the beginning of each rule, corresponding to that rule's position in the chain."
-msgstr "ルールを一覧表示する際、 そのルールがチェインのどの位置にあるかを表す行番号を各行の始めに付加する。"
-
-#. type: TP
-#, no-wrap
-msgid "B<--modprobe=>I<command>"
-msgstr "B<--modprobe=>I<command>"
-
-#. type: Plain text
-msgid "When adding or inserting rules into a chain, use I<command> to load any necessary modules (targets, match extensions, etc)."
-msgstr "チェインにルールを追加または挿入する際に、 (ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う I<command> を指定する。"
-
-#. type: SH
-#, no-wrap
-msgid "MATCH AND TARGET EXTENSIONS"
-msgstr "マッチングとターゲットの拡張"
-
-#. type: Plain text
-msgid "iptables can use extended packet matching and target modules. A list of these is available in the B<iptables-extensions>(8) manpage."
-msgstr "iptables は、パケットマッチングとターゲットの拡張を使うことができる。 B<iptables-extensions>(8) man ページに利用できる拡張のリストが載っている。"
-
-#. type: SH
-#, no-wrap
-msgid "DIAGNOSTICS"
-msgstr "返り値"
-
-#. type: Plain text
-msgid "Various error messages are printed to standard error. The exit code is 0 for correct functioning. Errors which appear to be caused by invalid or abused command line parameters cause an exit code of 2, and other errors cause an exit code of 1."
-msgstr "いろいろなエラーメッセージが標準エラーに表示される。 正常に動作した場合、 終了コードは 0 である。 不正なコマンドラインパラメータによりエラーが発生した場合は、 終了コード 2 が返される。 その他のエラーの場合は、 終了コード 1 が返される。"
-
-#. type: SH
-#, no-wrap
-msgid "BUGS"
-msgstr "バグ"
-
-#. type: Plain text
-msgid "Bugs? What's this? ;-) Well, you might want to have a look at http://bugzilla.netfilter.org/"
-msgstr "バグ? 何それ?? ;-) http://bugzilla.netfilter.org/ を覗いてみるといいだろう。"
-
-#. type: SH
-#, no-wrap
-msgid "COMPATIBILITY WITH IPCHAINS"
-msgstr "IPCHAINS との互換性"
-
-#. type: Plain text
-msgid "This B<iptables> is very similar to ipchains by Rusty Russell. The main difference is that the chains B<INPUT> and B<OUTPUT> are only traversed for packets coming into the local host and originating from the local host respectively. Hence every packet only passes through one of the three chains (except loopback traffic, which involves both INPUT and OUTPUT chains); previously a forwarded packet would pass through all three."
-msgstr "B<iptables> は、Rusty Russell の ipchains と非常によく似ている。 大きな違いは、チェイン B<INPUT> と B<OUTPUT> が、それぞれローカルホストに入ってくるパケットと、 ローカルホストから出されるパケットのみしか調べないという点である。 よって、 どのパケットも 3 つあるチェインのうち 1 つしか通らない (ただし、 ループバックトラフィックだけは例外で、 INPUT と OUTPUT の両方のチェインを通る)。 ipchains では、 フォワードされるパケットは 3 つのチェイン全てを通っていた。"
-
-#. type: Plain text
-msgid "The other main difference is that B<-i> refers to the input interface; B<-o> refers to the output interface, and both are available for packets entering the B<FORWARD> chain."
-msgstr "その他の大きな違いは、 B<-i> で入力インターフェース、 B<-o> で出力インターフェースを表わし、 B<FORWARD> チェインに入るパケットでは入出力両方のインターフェースが指定可能な点である。"
-
-#. type: Plain text
-msgid "The various forms of NAT have been separated out; B<iptables> is a pure packet filter when using the default `filter' table, with optional extension modules. This should simplify much of the previous confusion over the combination of IP masquerading and packet filtering seen previously. So the following options are handled differently:"
-msgstr "NAT のいろいろな形式が分割された。 オプションの拡張モジュールと組み合わせて、デフォルトの「フィルタ」テーブルを用いた場合でも、 B<iptables> は純粋なパケットフィルタとなる。 これにより、 ipchains で見られた IP マスカレーディングとパケットフィルタリングの組み合せた場合に分かりにくかった点が分かりやすくなっている。 そのため、以下のオプションを指定した場合の動作は違ったものになっている。"
-
-#. type: Plain text
-#, no-wrap
-msgid ""
-" -j MASQ\n"
-" -M -S\n"
-" -M -L\n"
-msgstr ""
-" -j MASQ\n"
-" -M -S\n"
-" -M -L\n"
-
-#. type: Plain text
-msgid "There are several other changes in iptables."
-msgstr "iptables では、その他にもいくつかの変更がある。"
-
-#. type: SH
-#, no-wrap
-msgid "SEE ALSO"
-msgstr "関連項目"
-
-#. type: Plain text
-msgid "B<iptables-apply>(8), B<iptables-save>(8), B<iptables-restore>(8), B<iptables-extensions>(8),"
-msgstr "B<iptables-apply>(8), B<iptables-save>(8), B<iptables-restore>(8), B<iptables-extensions>(8),"
-
-#. type: Plain text
-msgid "The packet-filtering-HOWTO details iptables usage for packet filtering, the NAT-HOWTO details NAT, the netfilter-extensions-HOWTO details the extensions that are not in the standard distribution, and the netfilter-hacking-HOWTO details the netfilter internals."
-msgstr "packet-filtering-HOWTO では、パケットフィルタリングについての詳細な iptables の使用法が説明されている。 NAT-HOWTO には NAT について詳しい説明がある。 netfilter-extensions-HOWTO では、 標準的な配布には含まれない拡張の詳細が説明されている。 netfilter-hacking-HOWTO には、内部構造についての詳細な説明がある。"
-
-#. type: Plain text
-msgid "See B<http://www.netfilter.org/>."
-msgstr "B<http://www.netfilter.org/> を参照。"
-
-#. type: SH
-#, no-wrap
-msgid "AUTHORS"
-msgstr "作者"
-
-#. type: Plain text
-msgid "Rusty Russell originally wrote iptables, in early consultation with Michael Neuling."
-msgstr "Rusty Russell が最初に iptables を書いた。初期の段階での Michael Neuling との議論の上で書かれた。"
-
-#. type: Plain text
-msgid "Marc Boucher made Rusty abandon ipnatctl by lobbying for a generic packet selection framework in iptables, then wrote the mangle table, the owner match, the mark stuff, and ran around doing cool stuff everywhere."
-msgstr "Marc Boucher は Rusty に iptables の汎用的なパケット選択のフレームワークを使うように働きかけて、 ipnatctl を使わないようにした。そして、mangle テーブル、所有者マッチング、 mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。"
-
-#. type: Plain text
-msgid "James Morris wrote the TOS target, and tos match."
-msgstr "James Morris は TOS ターゲットと tos マッチングを書いた。"
-
-#. type: Plain text
-msgid "Jozsef Kadlecsik wrote the REJECT target."
-msgstr "Jozsef Kadlecsik は REJECT ターゲットを書いた。"
-
-#. type: Plain text
-msgid "Harald Welte wrote the ULOG and NFQUEUE target, the new libiptc, as well as the TTL, DSCP, ECN matches and targets."
-msgstr "Harald Welte は ULOG ターゲット、NFQUEUE ターゲット、新しい libiptc や TTL, DSCP, ECN のマッチ・ターゲットを書いた。"
-
-#. type: Plain text
-msgid "The Netfilter Core Team is: Marc Boucher, Martin Josefsson, Yasuyuki Kozakai, Jozsef Kadlecsik, Patrick McHardy, James Morris, Pablo Neira Ayuso, Harald Welte and Rusty Russell."
-msgstr "Netfilter コアチームは、Martin Josefsson, Yasuyuki Kozakai, Jozsef Kadlecsik, Patrick McHardy, James Morris, Pablo Neira Ayuso, Harald Welte, Rusty Russell である。"
-
-#. .. and did I mention that we are incredibly cool people?
-#. .. sexy, too ..
-#. .. witty, charming, powerful ..
-#. .. and most of all, modest ..
-#. type: Plain text
-msgid "Man page originally written by Herve Eychenne E<lt>rv@wallfire.orgE<gt>."
-msgstr "man ページは元々 Herve Eychenne E<lt>rv@wallfire.orgE<gt> が書いた。"
-
-#. type: SH
-#, no-wrap
-msgid "VERSION"
-msgstr "バージョン"
-
-#. type: Plain text
-msgid "This manual page applies to iptables/ip6tables 1.4.21."
-msgstr "この man ページは iptables/ip6tables 1.4.21 について説明している。"
+++ /dev/null
-.\"*******************************************************************
-.\"
-.\" This file was generated with po4a. Translate the source file.
-.\"
-.\"*******************************************************************
-.\"
-.\" Japanese Version Copyright (c) 2013 Akihiro MOTOKI
-.\" all rights reserved.
-.\" Translated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
-.TH IPTABLES\-XML 1 "" "iptables 1.4.21" "iptables 1.4.21"
-.\"
-.\" Man page written by Sam Liddicott <azez@ufomechanic.net>
-.\" It is based on the iptables-save man page.
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH 名前
-iptables\-xml \(em iptables\-xml 形式から XML 形式へ変換する
-.SH 書式
-\fBiptables\-xml\fP [\fB\-c\fP] [\fB\-v\fP]
-.SH 説明
-.PP
-\fBiptables\-xml\fP を使うと、iptables\-save の出力をより扱いやすい XML 形式に変換し、標準出力に出力することができる。
-ファイルに書き出すには、シェルで提供されている I/O リダイレクションを使うこと。
-.TP
-\fB\-c\fP, \fB\-\-combine\fP
-combine consecutive rules with the same matches but different
-targets. iptables does not currently support more than one target per match,
-so this simulates that by collecting the targets from consecutive iptables
-rules into one action tag, but only when the rule matches are
-identical. Terminating actions like RETURN, DROP, ACCEPT and QUEUE are not
-combined with subsequent targets.
-.TP
-\fB\-v\fP, \fB\-\-verbose\fP
-XML の生成元となった iptables の行を XML コメントとして出力する。
-
-.PP
-iptables\-xml does a mechanistic conversion to a very expressive xml format;
-the only semantic considerations are for \-g and \-j targets in order to
-discriminate between <call> <goto> and
-<nane\-of\-target> as it helps xml processing scripts if they can tell
-the difference between a target like SNAT and another chain.
-
-出力例を以下に示す。
-
-<iptables\-rules>
- <table name="mangle">
- <chain name="PREROUTING" policy="ACCEPT" packet\-count="63436"
-byte\-count="7137573">
- <rule>
- <conditions>
- <match>
- <p>tcp</p>
- </match>
- <tcp>
- <sport>8443</sport>
- </tcp>
- </conditions>
- <actions>
- <call>
- <check_ip/>
- </call>
- <ACCEPT/>
- </actions>
- </rule>
- </chain>
- </table>
-</iptables\-rules>
-
-.PP
-XML から iptables\-save への変換は、以下のように iptables.xslt スクリプトと xsltproc
-を使って行うことができる。 libxsltproc などを使ったカスタムプログラムで行うことができる。
-
-xsltproc iptables.xslt my\-iptables.xml | iptables\-restore
-
-.SH バグ
-iptables\-1.3.7 リリースの時点では知られていない。
-.SH 作者
-Sam Liddicott <azez@ufomechanic.net>
-.SH 関連項目
-\fBiptables\-save\fP(8), \fBiptables\-restore\fP(8), \fBiptables\fP(8)
+++ /dev/null
-.\" Title: iptables-apply
-.\" Author: Martin F. Krafft
-.\" Date: Jun 04, 2006
-.\"
-.\"*******************************************************************
-.\"
-.\" This file was generated with po4a. Translate the source file.
-.\"
-.\"*******************************************************************
-.\"
-.\" Japanese Version Copyright (c) 2013 Akihiro MOTOKI
-.\" all rights reserved.
-.\" Translated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
-.TH IPTABLES\-APPLY 8 "" "iptables 1.4.21" "iptables 1.4.21"
-.\" disable hyphenation
-.nh
-.SH 名前
-iptables\-apply \- リモートからの iptables のより安全な更新方法
-.SH 書式
-\fBiptables\-apply\fP [\-\fBhV\fP] [\fB\-t\fP \fItimeout\fP] \fIruleset\-file\fP
-.SH 説明
-.PP
-iptables\-apply は、新しいルールセット (iptables\-save の出力や iptables\-restore
-の入力と同じフォーマット) の iptables
-への適用を試みてから、ユーザーにこの変更を適用してよいかを問い合わせる。新しいルールセットが既存の接続を切断する場合、ユーザーは許可の返事を行うことができない。この場合、このスクリプトはタイムアウト時間が経過した後で直前のルールにロールバックを行う。タイムアウトは
-\fB\-t\fP で設定できる。
-.PP
-\fBip6tables\-apply\fP として呼び出された場合には、ip6tables\-save/\-restore が代わりに利用される。
-.SH オプション
-.TP
-\fB\-t\fP \fIseconds\fP, \fB\-\-timeout\fP \fIseconds\fP
-タイムアウト時間を設定する。この時間が経過した後、このスクリプトは以前のルールセットにロールバックを行う。
-.TP
-\fB\-h\fP, \fB\-\-help\fP
-使用方法を表示する。
-.TP
-\fB\-V\fP, \fB\-\-version\fP
-バージョン情報を表示する。
-.SH 関連項目
-.PP
-\fBiptables\-restore\fP(8), \fBiptables\-save\fP(8), \fBiptables\fP(8).
-.SH 著作権
-.PP
-iptables\-apply の著作権は Martin F. Krafft が持っている。
-.PP
-このマニュアルページは Martin F. Krafft <madduck@madduck.net> が書いた。
-.PP
-この文書のコピー、配布、修正は Artistic License 2.0 の下で行うことができる。
+++ /dev/null
-.\"*******************************************************************
-.\"
-.\" This file was generated with po4a. Translate the source file.
-.\"
-.\"*******************************************************************
-.\"
-.\" Japanese Version Copyright (c) 2013 Akihiro MOTOKI
-.\" all rights reserved.
-.\" Translated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
-.TH iptables\-extensions 8 "" "iptables 1.4.21" "iptables 1.4.21"
-.SH 名前
-iptables\-extensions \(em 標準の iptables に含まれる拡張モジュールのリスト
-.SH 書式
-\fBip6tables\fP [\fB\-m\fP \fIname\fP [\fImodule\-options\fP...]] [\fB\-j\fP \fItarget\-name\fP
-[\fItarget\-options\fP...]
-.PP
-\fBiptables\fP [\fB\-m\fP \fIname\fP [\fImodule\-options\fP...]] [\fB\-j\fP \fItarget\-name\fP
-[\fItarget\-options\fP...]
-.SH マッチングの拡張
-iptables は拡張されたパケットマッチングモジュールを使うことができる。 使用するモジュールは \fB\-m\fP か \fB\-\-match\fP
-の後ろにモジュール名に続けて指定する。 モジュール名の後ろには、 モジュールに応じて他のいろいろなコマンドラインオプションを指定することができる。
-複数の拡張マッチングモジュールを一行で指定することができる。 モジュールの指定より後ろで \fB\-h\fP か \fB\-\-help\fP を指定すると、
-モジュール固有のヘルプが表示される。 拡張マッチングモジュールはルールで指定された順序で評価される。
-.PP
-.\" @MATCH@
-\fB\-p\fP か \fB\-\-protocol\fP が指定され、 かつ未知のオプションだけが指定されていた場合にのみ、 iptables
-はプロトコルと同じ名前のマッチモジュールをロードし、 そのオプションを使えるようにしようとする。
-.SS addrtype
-このモジュールは、 アドレス種別 (\fBaddress type\fP) に基づいてパケットマッチングを行う。
-アドレス種別はカーネルのネットワークスタック内で使われており、 アドレスはいくつかグループに分類される。 厳密なグループの定義は個々のレイヤ 3
-プロトコルに依存する。
-.PP
-以下のアドレスタイプが利用できる。
-.TP
-\fBUNSPEC\fP
-アドレスを指定しない (つまりアドレス 0.0.0.0)
-.TP
-\fBUNICAST\fP
-ユニキャストアドレス
-.TP
-\fBLOCAL\fP
-ローカルアドレス
-.TP
-\fBBROADCAST\fP
-ブロードキャストアドレス
-.TP
-\fBANYCAST\fP
-エニーキャストアドレス
-.TP
-\fBMULTICAST\fP
-マルチキャストアドレス
-.TP
-\fBBLACKHOLE\fP
-ブラックホールアドレス
-.TP
-\fBUNREACHABLE\fP
-到達できないアドレス
-.TP
-\fBPROHIBIT\fP
-禁止されたアドレス
-.TP
-\fBTHROW\fP
-要修正
-.TP
-\fBNAT\fP
-要修正
-.TP
-\fBXRESOLVE\fP
-.TP
-[\fB!\fP] \fB\-\-src\-type\fP \fItype\fP
-送信元アドレスが指定された種類の場合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-dst\-type\fP \fItype\fP
-宛先アドレスが指定された種類の場合にマッチする。
-.TP
-\fB\-\-limit\-iface\-in\fP
-アドレス種別のチェックをそのパケットが受信されたインターフェースに限定する。 このオプションは \fBPREROUTING\fP, \fBINPUT\fP,
-\fBFORWARD\fP チェインでのみ利用できる。 \fB\-\-limit\-iface\-out\fP オプションと同時に指定することはできない。
-.TP
-\fB\-\-limit\-iface\-out\fP
-アドレス種別のチェックをそのパケットが出力されるインターフェースに限定する。 このオプションは \fBPOSTROUTING\fP, \fBOUTPUT\fP,
-\fBFORWARD\fP チェインでのみ利用できる。 \fB\-\-limit\-iface\-in\fP オプションと同時に指定することはできない。
-.SS "ah (IPv6 のみ)"
-このモジュールは IPsec パケットの認証ヘッダーのパラメータにマッチする。
-.TP
-[\fB!\fP] \fB\-\-ahspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
-SPI にマッチする。
-.TP
-[\fB!\fP] \fB\-\-ahlen\fP \fIlength\fP
-このヘッダーの全体の長さ (8進数)。
-.TP
-\fB\-\-ahres\fP
-予約フィールドが 0 で埋められている場合にマッチする。
-.SS "ah (IPv4 の場合)"
-このモジュールは IPsec パケットの認証ヘッダー (AH) の SPI 値にマッチする。
-.TP
-[\fB!\fP] \fB\-\-ahspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
-.SS bpf
-Linux Socket Filter を使ってマッチを行う。 BPF プログラムを 10 進数形式で指定する。 これは
-\fBnfbpf_compile\fP ユーティリティにより生成されるフォーマットである。
-.TP
-\fB\-\-bytecode\fP \fIcode\fP
-BPF バイトコードフォーマットを渡す (フォーマットについては下記の例で説明)。
-.PP
-コードのフォーマットは tcpdump の \-ddd コマンドの出力に似ている。 最初に命令数が入った行が 1 行あり、 1 行 1 命令がこれに続く。
-命令行は 'u16 u8 u8 u32' のパターンで 10 進数で指定する。 各フィールドは、命令、 true 時のジャンプオフセット、 false
-時のジャンプオフセット、 汎用で様々な用途に使用するフィールド 'K' である。 コメントはサポートされていない。
-.PP
-例えば 'ip proto 6' にマッチするパケットのみを読み込むには、以下を挿入すればよい (コムと末尾のホワイトスペースは含めずに)。
-.IP
-4 # 命令数
-.br
-48 0 0 9 # load byte ip\->proto
-.br
-21 0 1 6 # jump equal IPPROTO_TCP
-.br
-6 0 0 1 # return pass (non\-zero)
-.br
-6 0 0 0 # return fail (zero)
-.PP
-このフィルターを bpf マッチに渡すには以下のコマンドのようにする。
-.IP
-iptables \-A OUTPUT \-m bpf \-\-bytecode '4,48 0 0 9,21 0 1 6,6 0 0 1,6 0 0 0'
-\-j ACCEPT
-.PP
-代わりに、 nfbpf_compile ユーティリティを使う方法もある。
-.IP
-iptables \-A OUTPUT \-m bpf \-\-bytecode "`nfbpf_compile RAW 'ip proto 6'`" \-j
-ACCEPT
-.PP
-BPF についてもっと詳しく知るには FreeBSD の bpf(4) manpage を見るといいだろう。
-.SS cluster
-このモジュールを使うと、負荷分散装置なしで、ゲートウェイとバックエンドの負荷分散クラスターを配備できる。
-.PP
-This match requires that all the nodes see the same packets. Thus, the
-cluster match decides if this node has to handle a packet given the
-following options:
-.TP
-\fB\-\-cluster\-total\-nodes\fP \fInum\fP
-クラスターの総ノード数を設定する。
-.TP
-[\fB!\fP] \fB\-\-cluster\-local\-node\fP \fInum\fP
-ローカルノードの数字の ID を設定する。
-.TP
-[\fB!\fP] \fB\-\-cluster\-local\-nodemask\fP \fImask\fP
-ローカルノードの ID マスクを設定する。 このオプションは \fB\-\-cluster\-local\-node\fP の代わりに使うことができる。
-.TP
-\fB\-\-cluster\-hash\-seed\fP \fIvalue\fP
-Jenkins ハッシュのシード値を設定する。
-.PP
-例:
-.IP
-iptables \-A PREROUTING \-t mangle \-i eth1 \-m cluster \-\-cluster\-total\-nodes 2
-\-\-cluster\-local\-node 1 \-\-cluster\-hash\-seed 0xdeadbeef \-j MARK \-\-set\-mark
-0xffff
-.IP
-iptables \-A PREROUTING \-t mangle \-i eth2 \-m cluster \-\-cluster\-total\-nodes 2
-\-\-cluster\-local\-node 1 \-\-cluster\-hash\-seed 0xdeadbeef \-j MARK \-\-set\-mark
-0xffff
-.IP
-iptables \-A PREROUTING \-t mangle \-i eth1 \-m mark ! \-\-mark 0xffff \-j DROP
-.IP
-iptables \-A PREROUTING \-t mangle \-i eth2 \-m mark ! \-\-mark 0xffff \-j DROP
-.PP
-以下のコマンドで、 すべてのノードに同じパケットを届けることができる。
-.IP
-ip maddr add 01:00:5e:00:01:01 dev eth1
-.IP
-ip maddr add 01:00:5e:00:01:02 dev eth2
-.IP
-arptables \-A OUTPUT \-o eth1 \-\-h\-length 6 \-j mangle \-\-mangle\-mac\-s
-01:00:5e:00:01:01
-.IP
-arptables \-A INPUT \-i eth1 \-\-h\-length 6 \-\-destination\-mac 01:00:5e:00:01:01
-\-j mangle \-\-mangle\-mac\-d 00:zz:yy:xx:5a:27
-.IP
-arptables \-A OUTPUT \-o eth2 \-\-h\-length 6 \-j mangle \-\-mangle\-mac\-s
-01:00:5e:00:01:02
-.IP
-arptables \-A INPUT \-i eth2 \-\-h\-length 6 \-\-destination\-mac 01:00:5e:00:01:02
-\-j mangle \-\-mangle\-mac\-d 00:zz:yy:xx:5a:27
-.PP
-\fBNOTE\fP: the arptables commands above use mainstream syntax. If you are
-using arptables\-jf included in some RedHat, CentOS and Fedora versions, you
-will hit syntax errors. Therefore, you'll have to adapt these to the
-arptables\-jf syntax to get them working.
-.PP
-TCP 接続の場合には、応答方向で受信した TCP ACK パケットが有効とマークされないようにするため、ピックアップ (pickup)
-機能を無効する必要がある。
-.IP
-echo 0 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose
-.SS comment
-ルールにコメント (最大 256 文字) を付けることができる。
-.TP
-\fB\-\-comment\fP \fIcomment\fP
-.TP
-例:
-iptables \-A INPUT \-i eth1 \-m comment \-\-comment "my local LAN"
-.SS connbytes
-一つのコネクション (もしくはそのコネクションを構成する 2 つのフローの一方) でそれまでに転送されたバイト数やパケット数、
-もしくはパケットあたりの平均バイト数にマッチする。
-.PP
-カウンターは 64 ビットであり、したがってオーバーフローすることは考えられていない ;)
-.PP
-主な利用方法は、長時間存在するダウンロードを検出し、 これらに印を付けることで、
-トラフィック制御において艇優先帯域を使うようにスケジューリングできるようにすることである。
-.PP
-コネクションあたりの転送バイト数は、 `conntrack \-L` 経由で見ることができ、 ctnetlink 経由でもアクセスすることもできる。
-.PP
-アカウント情報を持っていないコネクションでは、 このマッチングは常に false を返す点に注意すること。
-"net.netfilter.nf_conntrack_acct" sysctl フラグで、
-\fB新規\fPコネクションでバイト数/パケット数の計測が行われるかが制御できる。 sysctl フラグが変更されても、
-既存のコネクションのアカウント情報は影響を受けない。
-.TP
-[\fB!\fP] \fB\-\-connbytes\fP \fIfrom\fP[\fB:\fP\fIto\fP]
-パケット数/バイト数/平均パケットサイズが FROM バイト/パケットより大きく TO バイト/パケットよりも小さいコネクションのパケットにマッチする。
-TO が省略した場合は FROM のみがチェックされる。 "!" を使うと、 この範囲にないパケットにマッチする。
-.TP
-\fB\-\-connbytes\-dir\fP {\fBoriginal\fP|\fBreply\fP|\fBboth\fP}
-どのパケットを計測するかを指定する
-.TP
-\fB\-\-connbytes\-mode\fP {\fBpackets\fP|\fBbytes\fP|\fBavgpkt\fP}
-パケット総数、転送バイト数、これまでに受信した全パケットの平均サイズ (バイト単位) のどれをチェックするかを指定する。 "both" と
-"avgpkt" を組み合わせて使った場合で、 (HTTP のように) データが (主に) 片方向でのみ転送される場合、
-平均パケットサイズは実際のデータパケットの約半分になる点に注意すること。
-.TP
-例:
-iptables .. \-m connbytes \-\-connbytes 10000:100000 \-\-connbytes\-dir both
-\-\-connbytes\-mode bytes ...
-.SS connlimit
-一つのサーバーに対する、 一つのクライアント IP アドレス (またはクライアントアドレスブロック) からの同時接続数を制限することができる。
-.TP
-\fB\-\-connlimit\-upto\fP \fIn\fP
-既存の接続数が \fIn\fP 以下の場合にマッチする。
-.TP
-\fB\-\-connlimit\-above\fP \fIn\fP
-既存の接続数が \fIn\fP より多い場合にマッチする。
-.TP
-\fB\-\-connlimit\-mask\fP \fIprefix_length\fP
-プレフィックス長を使ってホストのグルーピングを行う。 IPv4 の場合には、プレフィックス長は 0 以上 32 以下の値でなければならない。 IPv6
-の場合には 0 以上 128 以下でなければならない。 指定しなかった場合、そのプロトコルで使われる最も長いプレフィックス長が使用される。
-.TP
-\fB\-\-connlimit\-saddr\fP
-送信元グループに対して制限を適用する。 これが \-\-connlimit\-daddr が指定されなかった場合のデフォルトである。
-.TP
-\fB\-\-connlimit\-daddr\fP
-宛先グループに対して制限を適用する。
-.PP
-例:
-.TP
-# クライアントホストあたり 2 つの telnet 接続を許可する
-iptables \-A INPUT \-p tcp \-\-syn \-\-dport 23 \-m connlimit \-\-connlimit\-above 2
-\-j REJECT
-.TP
-# 同じことのに行う別のマッチ方法
-iptables \-A INPUT \-p tcp \-\-syn \-\-dport 23 \-m connlimit \-\-connlimit\-upto 2 \-j
-ACCEPT
-.TP
-# クラス C の送信元ネットワーク (ネットマスクが 24 ビット) あたりの同時 HTTP リクエスト数を 16 までに制限する
-iptables \-p tcp \-\-syn \-\-dport 80 \-m connlimit \-\-connlimit\-above 16
-\-\-connlimit\-mask 24 \-j REJECT
-.TP
-# リンクローカルネットワークからの同時 HTTP リクエスト数を 16 までに制限する
-(ipv6) ip6tables \-p tcp \-\-syn \-\-dport 80 \-s fe80::/64 \-m connlimit
-\-\-connlimit\-above 16 \-\-connlimit\-mask 64 \-j REJECT
-.TP
-# 特定のホスト宛のコネクション数を制限する
-ip6tables \-p tcp \-\-syn \-\-dport 49152:65535 \-d 2001:db8::1 \-m connlimit
-\-\-connlimit\-above 100 \-j REJECT
-.SS connmark
-このモジュールはコネクションに関連づけられた netfilter の mark フィールドにマッチする (このフィールドは、 以下の
-\fBCONNMARK\fP ターゲットで設定される)。
-.TP
-[\fB!\fP] \fB\-\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-指定された mark 値を持つコネクションのパケットにマッチする (mask が指定されると、 比較の前に mask との論理積 (AND)
-がとられる)。
-.SS conntrack
-コネクション追跡 (connection tracking) と組み合わせて使用した場合に、 このモジュールを使うと、
-パケットやコネクションの追跡状態を知ることができる。
-.TP
-[\fB!\fP] \fB\-\-ctstate\fP \fIstatelist\fP
-\fIstatelist\fP はマッチするコネクション状態 (connection state) のリストで、 コンマ区切りで指定する。
-指定できる状態のリストは後述。
-.TP
-[\fB!\fP] \fB\-\-ctproto\fP \fIl4proto\fP
-指定されたレイヤ 4 のプロトコルにマッチする。 プロトコルは名前または数値で指定する。
-.TP
-[\fB!\fP] \fB\-\-ctorigsrc\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-.TP
-[\fB!\fP] \fB\-\-ctorigdst\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-.TP
-[\fB!\fP] \fB\-\-ctreplsrc\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-.TP
-[\fB!\fP] \fB\-\-ctrepldst\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-順方向/反対方向のコネクションの送信元/宛先アドレスにマッチする。
-.TP
-[\fB!\fP] \fB\-\-ctorigsrcport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-ctorigdstport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-ctreplsrcport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-ctrepldstport\fP \fIport\fP[\fB:\fP\fIport\fP]
-順方向/反対方向のコネクションの (TCP/UDPなどの) 送信元/宛先ポートアドレス、 もしくは GRE キーにマッチする。
-ポートの範囲指定はカーネル 2.6.38 以降でのみサポートされている。
-.TP
-[\fB!\fP] \fB\-\-ctstatus\fP \fIstatelist\fP
-\fIstatuslist\fP はマッチするコネクション状況 (connection status) のリストで、 コンマ区切りで指定する。
-指定できる状況のリストは後述。
-.TP
-[\fB!\fP] \fB\-\-ctexpire\fP \fItime\fP[\fB:\fP\fItime\fP]
-有効期間の残り秒数、 またはその範囲(両端を含む)にマッチする。
-.TP
-\fB\-\-ctdir\fP {\fBORIGINAL\fP|\fBREPLY\fP}
-指定した方向に流れるパケットにマッチする。 このフラグが全く指定されなかった場合、 両方向のパケットがマッチする。
-.PP
-\fB\-\-ctstate\fP に指定できる状態は以下の通り。
-.TP
-\fBINVALID\fP
-そのパケットはどの既知のコネクションとも関連付けられていない。
-.TP
-\fBNEW\fP
-そのパケットが新しいコネクションを開始しようとしている。 もしくは、 両方の方向でパケットが観測されていないコネクションに関連付けられる。
-.TP
-\fBESTABLISHED\fP
-そのパケットが、 両方向のパケットが観測されたコネクションに関連付けられる。
-.TP
-\fBRELATED\fP
-そのパケットは、新しいコネクションを開始しようとしているが、 既存のコネクションと関連付けられる。 FTP データ転送や ICMP
-エラーなどが該当する。
-.TP
-\fBUNTRACKED\fP
-そのパケットは全く追跡されていない。 この状態は、 raw テーブルで \-j CT \-\-notrack
-を使って明示的にそのパケットを追跡しないようにしている場合に起こる。
-.TP
-\fBSNAT\fP
-元の送信元アドレスが応答の宛先アドレスと異なる場合にマッチする仮想的な状態。
-.TP
-\fBDNAT\fP
-元の宛先アドレスが応答の送信元アドレスと異なる場合にマッチする仮想的な状態。
-.PP
-\fB\-\-ctstatus\fP に指定できる値は以下の通り。
-.TP
-\fBNONE\fP
-以下のいずれでもない。
-.TP
-\fBEXPECTED\fP
-期待通りのコネクションである (つまり conntrack のヘルパーがコネクションをセットアップした)。
-.TP
-\fBSEEN_REPLY\fP
-conntrack が両方の方向でパケットを観測済である。
-.TP
-\fBASSURED\fP
-conntrack エントリが early\-expired されることはない。
-.TP
-\fBCONFIRMED\fP
-Connection is confirmed: originating packet has left box.
-.SS cpu
-.TP
-[\fB!\fP] \fB\-\-cpu\fP \fInumber\fP
-このパケットを処理する CPU にマッチする。 CPU には 0 から NR_CPUS\-1 の番号が振られる。
-ネットワークトラフィックを複数のキューに分散させるために RPS (Remote Packet Steering) やマルチキュー NIC
-と組み合わせて使用できる。
-.PP
-例:
-.PP
-iptables \-t nat \-A PREROUTING \-p tcp \-\-dport 80 \-m cpu \-\-cpu 0 \-j REDIRECT
-\-\-to\-port 8080
-.PP
-iptables \-t nat \-A PREROUTING \-p tcp \-\-dport 80 \-m cpu \-\-cpu 1 \-j REDIRECT
-\-\-to\-port 8081
-.PP
-Linux 2.6.36 以降で利用可能。
-.SS dccp
-.TP
-[\fB!\fP] \fB\-\-source\-port\fP,\fB\-\-sport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-destination\-port\fP,\fB\-\-dport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-dccp\-types\fP \fImask\fP
-DCCP パケットタイプが \fImask\fP のいずれかであればマッチする。 \fImask\fP はカンマ区切りのパケットタイプのリストである。
-指定できるパケットタイプは \fBREQUEST RESPONSE DATA ACK DATAACK CLOSEREQ CLOSE RESET SYNC
-SYNCACK INVALID\fP である。
-.TP
-[\fB!\fP] \fB\-\-dccp\-option\fP \fInumber\fP
-DCCP オプションが設定されている場合にマッチする。
-.SS devgroup
-パケットの受信/送信インターフェースのデバイスグループにマッチする。
-.TP
-[\fB!\fP] \fB\-\-src\-group\fP \fIname\fP
-受信デバイスのデバイスグループにマッチする
-.TP
-[\fB!\fP] \fB\-\-dst\-group\fP \fIname\fP
-送信デバイスのデバイスグループにマッチする
-.SS dscp
-このモジュールは、 IP ヘッダーの TOS フィールド内にある、 6 bit の DSCP フィールドにマッチする。 IETF では DSCP が
-TOS に取って代わった。
-.TP
-[\fB!\fP] \fB\-\-dscp\fP \fIvalue\fP
-(10 進または 16 進の) 数値 [0\-63] にマッチする。
-.TP
-[\fB!\fP] \fB\-\-dscp\-class\fP \fIclass\fP
-DiffServ クラスにマッチする。 値は BE, EF, AFxx, CSx クラスのいずれかである。 対応する数値に変換される。
-.SS "dst (IPv6 のみ)"
-このモジュールは宛先オプションヘッダーのパラメータにマッチする。
-.TP
-[\fB!\fP] \fB\-\-dst\-len\fP \fIlength\fP
-このヘッダーの全体の長さ (8進数)。
-.TP
-\fB\-\-dst\-opts\fP \fItype\fP[\fB:\fP\fIlength\fP][\fB,\fP\fItype\fP[\fB:\fP\fIlength\fP]...]
-数値のオプションタイプとオプションデータのオクテット単位の長さ。
-.SS ecn
-IPv4/IPv6 と TCP ヘッダーの ECN ビットにマッチングを行う。 ECN とは RFC3168 で規定された Explicit
-Congestion Notification (明示的な輻輳通知) 機構のことである。
-.TP
-[\fB!\fP] \fB\-\-ecn\-tcp\-cwr\fP
-TCP ECN CWR (Congestion Window Received) ビットがセットされている場合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-ecn\-tcp\-ece\fP
-TCP ECN ECE (ECN Echo) ビットがセットされている場合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-ecn\-ip\-ect\fP \fInum\fP
-特定の IPv4/IPv6 ECT (ECN\-Capable Transport) にマッチする。 `0' 以上 `3'
-以下の値を指定しなければならない。
-.SS esp
-このモジュールは IPsec パケットの ESP ヘッダーの SPI 値にマッチする。
-.TP
-[\fB!\fP] \fB\-\-espspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
-.SS "eui64 (IPv6 のみ)"
-このモジュールは stateless の自動で設定された IPv6 アドレスの EUI\-64 の部分にマッチする。 Ethernet の送信元 MAC
-アドレスに基づく EUI\-64 と IPv6 送信元アドレスの下位 64 ビットの比較が行われる。 ただし "Universal/Local"
-ビットは比較されない。 このモジュールは他のリンク層フレームにはマッチしない。 このモジュールは \fBPREROUTING\fP, \fBINPUT\fP,
-\fBFORWARD\fP チェインでのみ有効である。
-.SS "frag (IPv6 のみ)"
-このモジュールはフラグメントヘッダーのパラメータにマッチする。
-.TP
-[\fB!\fP] \fB\-\-fragid\fP \fIid\fP[\fB:\fP\fIid\fP]
-指定された値もしくは範囲の ID にマッチする。
-.TP
-[\fB!\fP] \fB\-\-fraglen\fP \fIlength\fP
-このオプションはバージョン 2.6.10 以降のカーネルでは使用できない。 フラグメントヘッダー長は変化しないので、このオプションは意味を持たない。
-.TP
-\fB\-\-fragres\fP
-予約フィールドに 0 が入っている場合にマッチする。
-.TP
-\fB\-\-fragfirst\fP
-最初のフラグメントにマッチする。
-.TP
-\fB\-\-fragmore\fP
-さらにフラグメントが続く場合にマッチする。
-.TP
-\fB\-\-fraglast\fP
-最後のフラグメントの場合にマッチする。
-.SS hashlimit
-\fBhashlimit\fP uses hash buckets to express a rate limiting match (like the
-\fBlimit\fP match) for a group of connections using a \fBsingle\fP iptables
-rule. Grouping can be done per\-hostgroup (source and/or destination address)
-and/or per\-port. It gives you the ability to express "\fIN\fP packets per time
-quantum per group" or "\fIN\fP bytes per seconds" (see below for some
-examples).
-.PP
-hash limit オプション (\fB\-\-hashlimit\-upto\fP, \fB\-\-hashlimit\-above\fP) と
-\fB\-\-hashlimit\-name\fP は必須である。
-.TP
-\fB\-\-hashlimit\-upto\fP \fIamount\fP[\fB/second\fP|\fB/minute\fP|\fB/hour\fP|\fB/day\fP]
-単位時間あたりの平均マッチ回数の最大値。 数値で指定され、 添字 `/second', `/minute', `/hour', `/day'
-を付けることもできる。 デフォルトは 3/hour である。
-.TP
-\fB\-\-hashlimit\-above\fP \fIamount\fP[\fB/second\fP|\fB/minute\fP|\fB/hour\fP|\fB/day\fP]
-レートが指定された区間での \fIamount\fP より大きい場合にマッチする。
-.TP
-\fB\-\-hashlimit\-burst\fP \fIamount\fP
-パケットがマッチする回数の最大初期値: 上のオプションで指定した制限に達しなければ、 マッチするごとに、 この数値になるまで 1 個ずつ増やされる。
-デフォルトは 5 である。 バイトでのレート照合が要求された場合、 このオプションは指定レートを超過できるバイト数を規定する。
-このオプションを使用する際には注意が必要である \-\- エントリがタイムアウトで削除される際に、バースト値もリセットされる。
-.TP
-\fB\-\-hashlimit\-mode\fP {\fBsrcip\fP|\fBsrcport\fP|\fBdstip\fP|\fBdstport\fP}\fB,\fP...
-対象とする要素のカンマ区切りのリスト。 \-\-hashlimit\-mode オプションが指定されなかった場合、 hashlimit は limit
-と同じ動作をするが、 ハッシュの管理を行うコストがかかる。
-.TP
-\fB\-\-hashlimit\-srcmask\fP \fIprefix\fP
-When \-\-hashlimit\-mode srcip is used, all source addresses encountered will
-be grouped according to the given prefix length and the so\-created subnet
-will be subject to hashlimit. \fIprefix\fP must be between (inclusive) 0 and
-32. Note that \-\-hashlimit\-srcmask 0 is basically doing the same thing as not
-specifying srcip for \-\-hashlimit\-mode, but is technically more expensive.
-.TP
-\fB\-\-hashlimit\-dstmask\fP \fIprefix\fP
-Like \-\-hashlimit\-srcmask, but for destination addresses.
-.TP
-\fB\-\-hashlimit\-name\fP \fIfoo\fP
-/proc/net/ipt_hashlimit/foo エントリの名前。
-.TP
-\fB\-\-hashlimit\-htable\-size\fP \fIbuckets\fP
-ハッシュテーブルのバケット数。
-.TP
-\fB\-\-hashlimit\-htable\-max\fP \fIentries\fP
-ハッシュの最大エントリ数。
-.TP
-\fB\-\-hashlimit\-htable\-expire\fP \fImsec\fP
-ハッシュエントリが何ミリ秒後に削除されるか。
-.TP
-\fB\-\-hashlimit\-htable\-gcinterval\fP \fImsec\fP
-ガベージコレクションの間隔 (ミリ秒)。
-.PP
-例:
-.TP
-送信元ホストに対するマッチ
-"192.168.0.0/16 の各ホストに対して 1000 パケット/秒" => \-s 192.168.0.0/16
-\-\-hashlimit\-mode srcip \-\-hashlimit\-upto 1000/sec
-.TP
-送信元ポートに対するマッチ
-"192.168.1.1 の各サービスに対して 100 パケット/秒" => \-s 192.168.1.1 \-\-hashlimit\-mode
-srcport \-\-hashlimit\-upto 100/sec
-.TP
-サブネットに対するマッチ
-"10.0.0.0/8 内の /28 サブネット (アドレス 8 個のグループ) それぞれに対して 10000 パケット/秒" => \-s
-10.0.0.0/8 \-\-hashlimit\-mask 28 \-\-hashlimit\-upto 10000/min
-.TP
-バイト/秒によるマッチ
-"512kbyte/s を超過したフロー" => \-\-hashlimit\-mode srcip,dstip,srcport,dstport
-\-\-hashlimit\-above 512kb/s
-.TP
-バイト/秒によるマッチ
-"512kbyte/s を超過するとマッチするが、 1 メガバイトに達するまではマッチせず許可する" \-\-hashlimit\-mode dstip
-\-\-hashlimit\-above 512kb/s \-\-hashlimit\-burst 1mb
-.SS "hbh (IPv6 のみ)"
-このモジュールは Hop\-by\-Hop オプションヘッダーのパラメータにマッチする。
-.TP
-[\fB!\fP] \fB\-\-hbh\-len\fP \fIlength\fP
-このヘッダーの全体の長さ (8進数)。
-.TP
-\fB\-\-hbh\-opts\fP \fItype\fP[\fB:\fP\fIlength\fP][\fB,\fP\fItype\fP[\fB:\fP\fIlength\fP]...]
-数値のオプションタイプとオプションデータのオクテット単位の長さ。
-.SS helper
-このモジュールは、 指定されたコネクション追跡ヘルパーモジュールに 関連するパケットにマッチする。
-.TP
-[\fB!\fP] \fB\-\-helper\fP \fIstring\fP
-指定されたコネクション追跡ヘルパーモジュールに 関連するパケットにマッチする。
-.RS
-.PP
-デフォルトのポートを使った ftp\-セッションに関連するパケットでは、 string に "ftp" と書ける。 他のポートでは "\-ポート番号"
-を値に付け加える。 すなわち "ftp\-2121" となる。
-.PP
-他のコネクション追跡ヘルパーでも同じルールが適用される。
-.RE
-.SS "hl (IPv6 のみ)"
-このモジュールは IPv6 ヘッダーの Hop Limit フィールドにマッチする。
-.TP
-[\fB!\fP] \fB\-\-hl\-eq\fP \fIvalue\fP
-Hop Limit が \fIvalue\fP と同じ場合にマッチする。
-.TP
-\fB\-\-hl\-lt\fP \fIvalue\fP
-Hop Limit が \fIvalue\fP より小さい場合にマッチする。
-.TP
-\fB\-\-hl\-gt\fP \fIvalue\fP
-Hop Limit が \fIvalue\fP より大きい場合にマッチする。
-.SS "icmp (IPv4 の場合)"
-この拡張は `\-\-protocol icmp' が指定された場合に使用でき、 以下のオプションが提供される:
-.TP
-[\fB!\fP] \fB\-\-icmp\-type\fP {\fItype\fP[\fB/\fP\fIcode\fP]|\fItypename\fP}
-ICMP タイプを指定できる。 タイプ指定には、 数値の ICMP タイプ、 タイプ/コードの組、 または以下のコマンド で表示される ICMP
-タイプ名を指定できる。
-.nf
- iptables \-p icmp \-h
-.fi
-.SS "icmp6 (IPv6 のみ)"
-これらの拡張は `\-\-protocol ipv6\-icmp' または `\-\-protocol icmpv6' が指定された場合に使用でき、
-以下のオプションが提供される:
-.TP
-[\fB!\fP] \fB\-\-icmpv6\-type\fP \fItype\fP[\fB/\fP\fIcode\fP]|\fItypename\fP
-ICMPv6 タイプを指定できる。 タイプ指定には、 数値の ICMP \fItype\fP、 \fItype\fP と \fIcode\fP、 または以下のコマンド
-で表示される ICMPv6 タイプ名を指定できる。
-.nf
- ip6tables \-p ipv6\-icmp \-h
-.fi
-.SS iprange
-このモジュールは指定された任意の範囲の IP アドレスにマッチする。
-.TP
-[\fB!\fP] \fB\-\-src\-range\fP \fIfrom\fP[\fB\-\fP\fIto\fP]
-指定された範囲の送信元 IP にマッチする。
-.TP
-[\fB!\fP] \fB\-\-dst\-range\fP \fIfrom\fP[\fB\-\fP\fIto\fP]
-指定された範囲の宛先 IP にマッチする。
-.SS "ipv6header (IPv6 のみ)"
-このモジュールは IPv6 拡張ヘッダー、 上位レイヤのヘッダー、もしくはその両方にマッチする。
-.TP
-\fB\-\-soft\fP
-パケットが \fB\-\-header\fP で指定されたヘッダーの\fBいずれか\fPを含む場合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-header\fP \fIheader\fP[\fB,\fP\fIheader\fP...]
-Matches the packet which EXACTLY includes all specified headers. The headers
-encapsulated with ESP header are out of scope. Possible \fIheader\fP types can
-be:
-.TP
-\fBhop\fP|\fBhop\-by\-hop\fP
-Hop\-by\-Hop オプションヘッダー
-.TP
-\fBdst\fP
-宛先オプションヘッダー
-.TP
-\fBroute\fP
-ルーティングヘッダー
-.TP
-\fBfrag\fP
-フラグメントヘッダー
-.TP
-\fBauth\fP
-認証ヘッダー (AH)
-.TP
-\fBesp\fP
-ESP (Encapsulating Security Payload) ヘッダー
-.TP
-\fBnone\fP
-No Next header which matches 59 in the 'Next Header field' of IPv6 header or
-any IPv6 extension headers
-.TP
-\fBproto\fP
-which matches any upper layer protocol header. A protocol name from
-/etc/protocols and numeric value also allowed. The number 255 is equivalent
-to \fBproto\fP.
-.SS ipvs
-IPVS コネクション属性にマッチする。
-.TP
-[\fB!\fP] \fB\-\-ipvs\fP
-IPVS コネクションに属すパケット
-.TP
-以下のオプションでは \-\-ipvs も暗黙のうちに指定される (否定の場合も含む)
-.TP
-[\fB!\fP] \fB\-\-vproto\fP \fIprotocol\fP
-マッチする VIP プロトコル (数値か名前 (例えば "tcp") で指定する)
-.TP
-[\fB!\fP] \fB\-\-vaddr\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-マッチする VIP アドレス
-.TP
-[\fB!\fP] \fB\-\-vport\fP \fIport\fP
-マッチする VIP プロトコル (数値か名前 (例えば \"http\") で指定する)
-.TP
-\fB\-\-vdir\fP {\fBORIGINAL\fP|\fBREPLY\fP}
-パケットフローの方向
-.TP
-[\fB!\fP] \fB\-\-vmethod\fP {\fBGATE\fP|\fBIPIP\fP|\fBMASQ\fP}
-使用する IPVS の転送方法
-.TP
-[\fB!\fP] \fB\-\-vportctl\fP \fIport\fP
-マッチする制御用コネクションの VIP ポート (例えば FTP であれば 21)
-.SS length
-このモジュールは、 パケットのレイヤ 3 ペイロード (例えばレイヤ 4 パケット) の長さが、 指定された値、 または値の範囲にあればマッチする。
-.TP
-[\fB!\fP] \fB\-\-length\fP \fIlength\fP[\fB:\fP\fIlength\fP]
-.SS limit
-このモジュールは、 トークンバケットフィルタを使って制限レートのマッチを行う。 この拡張を使ったルールは、指定された制限に達するまでマッチする。
-例えば、 このモジュールはログ記録を制限するために \fBLOG\fP ターゲットと組み合わせて使うことができる。
-.PP
-xt_limit has no negation support \- you will have to use \-m hashlimit !
-\-\-hashlimit \fIrate\fP in this case whilst omitting \-\-hashlimit\-mode.
-.TP
-\fB\-\-limit\fP \fIrate\fP[\fB/second\fP|\fB/minute\fP|\fB/hour\fP|\fB/day\fP]
-単位時間あたりの平均マッチ回数の最大値。 数値で指定され、 添字 `/second', `/minute', `/hour', `/day'
-を付けることもできる。 デフォルトは 3/hour である。
-.TP
-\fB\-\-limit\-burst\fP \fInumber\fP
-パケットがマッチする回数の最大初期値: 上のオプションで指定した制限に達しなければ、 マッチするごとに、 この数値になるまで 1 個ずつ増やされる。
-デフォルトは 5 である。
-.SS mac
-.TP
-[\fB!\fP] \fB\-\-mac\-source\fP \fIaddress\fP
-送信元 MAC アドレスにマッチする。 \fIaddress\fP は XX:XX:XX:XX:XX:XX と
-いう形式でなければならない。 イーサーネットデバイスから入ってくるパケッ
-トで、 \fBPREROUTING\fP, \fBFORWARD\fP, \fBINPUT\fP チェインに入るパケットにしか
-意味がない。
-.SS mark
-このモジュールはパケットに関連づけられた netfilter の mark フィールドにマッチする (このフィールドは、 以下の \fBMARK\fP
-ターゲットで設定される)。
-.TP
-[\fB!\fP] \fB\-\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-指定された符号なしの mark 値を持つパケットにマッチする (\fImask\fP が指定されると、 比較の前に \fImask\fP との論理積 (AND)
-がとられる)。
-.SS "mh (IPv6 のみ)"
-この拡張は `\-\-protocol ipv6\-mh' または `\-\-protocol mh' が指定された場合にロードされる。
-以下のオプションが提供される。
-.TP
-[\fB!\fP] \fB\-\-mh\-type\fP \fItype\fP[\fB:\fP\fItype\fP]
-Mobility Header (MH) タイプを指定できる。 タイプ指定には、 数値の MH タイプか、 以下のコマンドで表示される MH
-タイプ名を指定できる。
-.nf
- ip6tables \-p mh \-h
-.fi
-.SS multiport
-このモジュールは送信元ポートや宛先ポートの集合にマッチする。 ポートは 15 個まで指定できる。 ポートの範囲指定 (port:port) は 2
-ポートとカウントされる。 このモジュールが使用できるのは \fBtcp\fP, \fBudp\fP, \fBudplite\fP, \fBdccp\fP, \fBsctp\fP
-のいずれかと組み合わせた場合だけである。
-.TP
-[\fB!\fP] \fB\-\-source\-ports\fP,\fB\-\-sports\fP \fIport\fP[\fB,\fP\fIport\fP|\fB,\fP\fIport\fP\fB:\fP\fIport\fP]...
-送信元ポートが指定されたポートのいずれにマッチする。 フラグ \fB\-\-sports\fP はこのオプションの便利な別名である。
-複数のポートやポート範囲がカンマ区切りで指定できる。 ポート範囲はコロン区切りで指定する。 したがって \fB53,1024:65535\fP はポート 53
-および 1024 から 65535 までの全ポートにマッチする。
-.TP
-[\fB!\fP] \fB\-\-destination\-ports\fP,\fB\-\-dports\fP \fIport\fP[\fB,\fP\fIport\fP|\fB,\fP\fIport\fP\fB:\fP\fIport\fP]...
-宛先ポートが指定されたポートのうちのいずれかであればマッチする。
-フラグ \fB\-\-dports\fP は、 このオプションの便利な別名である。
-.TP
-[\fB!\fP] \fB\-\-ports\fP \fIport\fP[\fB,\fP\fIport\fP|\fB,\fP\fIport\fP\fB:\fP\fIport\fP]...
-送信元ポートと宛先ポートの一方が指定されたポートのいずれか一つと等しければ、 マッチする。
-.SS nfacct
-nfacct マッチングは iptable に拡張アカウンティング機構を提供する。 このマッチングモジュールはユーザー空間スタンドアロンユーティリティ
-\fBnfacct\fP(8) と一緒に使う必要がある。
-.PP
-以下のオプションだけがこのマッチングで使用できる。
-.TP
-\fB\-\-nfacct\-name\fP \fIname\fP
-このルールセットがマッチするトラフィック量を記録するのに使用する既存のオブジェクト名を指定する。
-.PP
-この拡張を使用するには、アカウンティングオブジェクトを作成する必要があります。
-.IP
-nfacct add http\-traffic
-.PP
-それから、iptables を使ってアカウンティングオブジェクトにトラフィックを関連付けます。
-.IP
-iptables \-I INPUT \-p tcp \-\-sport 80 \-m nfacct \-\-nfacct\-name http\-traffic
-.IP
-iptables \-I OUTPUT \-p tcp \-\-dport 80 \-m nfacct \-\-nfacct\-name http\-traffic
-.PP
-そうすると、ルールにマッチしたトラフィック量をチェックできる。
-.IP
-nfacct get http\-traffic
-.IP
-{ pkts = 00000000000000000156, bytes = 00000000000000151786 } =
-http\-traffic;
-.PP
-\fBnfacct\fP(8) は http://www.netfilter.org もしくは git.netfilter.org リポジトリから入手できる。
-.SS osf
-osf モジュールは受動的な OS (オペレーティングシステム) フィンガープリンティングを行う。 このモジュールは SYN
-ビットがセットされたパケットのいくつかのデータ (Window Size, MSS, オプションとその順序, TTL, DF など) を比較する。
-.TP
-[\fB!\fP] \fB\-\-genre\fP \fIstring\fP
-受動的フィンガープリンティングでマッチさせるオペレーティングシステムのジャンル。
-.TP
-\fB\-\-ttl\fP \fIlevel\fP
-パケットに対して、オペレーティングシステムを判定するための追加の TTL チェックを行う。 \fIlevel\fP には以下の値のいずれを指定できる。
-.IP \(bu 4
-0 \- 本当の IP アドレスとフィンガープリント TTL の比較を行う。 一般に LAN で有効である。
-.IP \(bu 4
-1 \- IP ヘッダーの TTL がフィンガープリント TTL より小さいかチェックする。 グローバルにルーティング可能なアドレスで有効である。
-.IP \(bu 4
-2 \- TTL の比較を全く行わない。
-.TP
-\fB\-\-log\fP \fIlevel\fP
-判別したジャンルが期待するものと違う場合でもロギングするかどうか。 \fIlevel\fP には以下のいずれかを指定できる。
-.IP \(bu 4
-マッチしたシグネチャーと不明なシグネチャーをすべて記録する
-.IP \(bu 4
-1 \- 最初にマッチしたもののみを記録する
-.IP \(bu 4
-2 \- マッチした既知のシグネチャーをすべて記録する
-.PP
-syslog に以下のようなメッセージが記録される。
-.PP
-Windows [2000:SP3:Windows XP Pro SP1, 2000 SP3]: 11.22.33.55:4024 \->
-11.22.33.44:139 hops=3 Linux [2.5\-2.6:] : 1.2.3.4:42624 \-> 1.2.3.5:22
-hops=4
-.PP
-OS フィンガープリントは \fBnfnl_osf\fP プログラムを使ってロードできる。 ファイルからフィンガープリントをロードするには以下のようにする。
-.PP
-\fBnfnl_osf \-f /usr/share/xtables/pf.os\fP
-.PP
-再度削除するには以下のようにする。
-.PP
-\fBnfnl_osf \-f /usr/share/xtables/pf.os \-d\fP
-.PP
-フィンガープリントデータベースは http://www.openbsd.org/cgi\-bin/cvsweb/src/etc/pf.os
-からダウンロードできる。
-.SS owner
-このモジュールは、 ローカルで生成されたパケットに対して、 パケット生成者の様々な特性に対するマッチを行う。 このマッチは OUTPUT チェインか
-POSTROUTING チェインでのみ有効である。 転送パケットはどのソケットとも関連付けられていない。
-カーネルスレッドからのパケットには対応するソケットがあるが、 通常ソケットの所有者はいない。
-.TP
-[\fB!\fP] \fB\-\-uid\-owner\fP \fIusername\fP
-.TP
-[\fB!\fP] \fB\-\-uid\-owner\fP \fIuserid\fP[\fB\-\fP\fIuserid\fP]
-そのパケットのソケットのファイル構造体が存在し、ソケットの所有者が指定されたユーザーの場合にマッチする。 数値の UID や UID
-の範囲を指定することもできる。
-.TP
-[\fB!\fP] \fB\-\-gid\-owner\fP \fIgroupname\fP
-.TP
-[\fB!\fP] \fB\-\-gid\-owner\fP \fIgroupid\fP[\fB\-\fP\fIgroupid\fP]
-そのパケットのソケットのファイル構造体の所有者が指定されたグループの場合にマッチする。 数値の GID や GID の範囲を指定することもできる。
-.TP
-[\fB!\fP] \fB\-\-socket\-exists\fP
-パケットがソケットに関連付けられている場合にマッチする。
-.SS physdev
-このモジュールは、 ブリッジデバイスのスレーブにされた、 ブリッジポートの入出力デバイスにマッチする。 このモジュールは、 ブリッジによる透過的な IP
-ファイアウォールの基盤の一部であり、 カーネルバージョン 2.5.44 以降でのみ有効である。
-.TP
-[\fB!\fP] \fB\-\-physdev\-in\fP \fIname\fP
-パケットが受信されるブリッジのポート名 (\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインに入るパケットのみ)。
-インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。
-ブリッジデバイスを通して受け取られなかったパケットは、 \&'!' が指定されていない限り、 このオプションにマッチしない。
-.TP
-[\fB!\fP] \fB\-\-physdev\-out\fP \fIname\fP
-パケットを送信することになるブリッジのポート名 (\fBFORWARD\fP, \fBOUTPUT\fP, \fBPOSTROUTING\fP
-チェインに入るパケットのみ)。 インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 \fBnat\fP
-と \fBmangle\fP テーブルの \fBOUTPUT\fP チェインではブリッジの出力ポートにマッチさせることができないが、 \fBfilter\fP テーブルの
-\fBOUPUT\fP チェインではマッチ可能である。 パケットがブリッジデバイスから送られなかった場合、 またはパケットの出力デバイスが不明であった場合は、
-\&'!' が指定されていない限り、 パケットはこのオプションにマッチしない。
-.TP
-[\fB!\fP] \fB\-\-physdev\-is\-in\fP
-パケットがブリッジインターフェースに入った場合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-physdev\-is\-out\fP
-パケットがブリッジインターフェースから出ようとした場合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-physdev\-is\-bridged\fP
-パケットがブリッジされることにより、 ルーティングされなかった場合にマッチする。 これは FORWARD, POSTROUTING
-チェインにおいてのみ役立つ。
-.SS pkttype
-このモジュールは、 リンク層のパケットタイプにマッチする。
-.TP
-[\fB!\fP] \fB\-\-pkt\-type\fP {\fBunicast\fP|\fBbroadcast\fP|\fBmulticast\fP}
-.SS policy
-このモジュールはパケットを処理する IPsec が使用するポリシーにマッチする。
-.TP
-\fB\-\-dir\fP {\fBin\fP|\fBout\fP}
-復号 (decapsulation) に使用するポリシーにマッチするか、カプセル化 (encapsulation)
-に使用するポリシーにマッチするかを指定する。 \fBin\fP はチェイン \fBPREROUTING, INPUT, FORWARD\fP で有効で、
-\fBout\fP はチェイン \fBPOSTROUTING, OUTPUT, FORWARD\fP で有効である。
-.TP
-\fB\-\-pol\fP {\fBnone\fP|\fBipsec\fP}
-パケットが IPsec 処理対象であればマッチする。 \fB\-\-pol none\fP は \fB\-\-strict\fP と一緒に使用できない。
-.TP
-\fB\-\-strict\fP
-ポリシーが正確にマッチするか、指定したポリシーがポリシーのいずれかのルールにマッチするかを指定する。
-.PP
-それぞれのポリシー要素を定義するのに、以下のオプション (複数可) を使用することができる。 \fB\-\-strict\fP
-が有効になっている場合、各要素につき少なくともオプションを一つ指定しなければならない。
-.TP
-[\fB!\fP] \fB\-\-reqid\fP \fIid\fP
-ポリシールールの reqid にマッチする。 reqid は \fBsetkey\fP(8) でレベルとして \fBunique:id\fP を使って指定できる。
-.TP
-[\fB!\fP] \fB\-\-spi\fP \fIspi\fP
-SA の SPI にマッチする。
-.TP
-[\fB!\fP] \fB\-\-proto\fP {\fBah\fP|\fBesp\fP|\fBipcomp\fP}
-カプセル化プロトコルにマッチする。
-.TP
-[\fB!\fP] \fB\-\-mode\fP {\fBtunnel\fP|\fBtransport\fP}
-カプセル化モードにマッチする。
-.TP
-[\fB!\fP] \fB\-\-tunnel\-src\fP \fIaddr\fP[\fB/\fP\fImask\fP]
-トンネルモード SA の送信元エンドポイントアドレスにマッチする。 \fB\-\-mode tunnel\fP との組み合わせでのみ有効。
-.TP
-[\fB!\fP] \fB\-\-tunnel\-dst\fP \fIaddr\fP[\fB/\fP\fImask\fP]
-トンネルモード SA の宛先エンドポイントアドレスにマッチする。 \fB\-\-mode tunnel\fP との組み合わせでのみ有効。
-.TP
-\fB\-\-next\fP
-ポリシー定義の次の要素から開始する。 \fB\-\-strict\fP との組み合わせでのみ使用できる。
-.SS quota
-Implements network quotas by decrementing a byte counter with each
-packet. The condition matches until the byte counter reaches zero. Behavior
-is reversed with negation (i.e. the condition does not match until the byte
-counter reaches zero).
-.TP
-[\fB!\fP] \fB\-\-quota\fP \fIbytes\fP
-バイト単位のクォータ。
-.SS rateest
-レート推測器 (rate estimator) は RATEEST ターゲットで収集された推定レートにマッチする。 bps/pps
-の絶対値に対するマッチング、 2 つのレート推測器の比較、 2 つのレート推測器の差分に対するマッチングをサポートしている。
-.PP
-.\" * Absolute:
-利用可能なオプションが分かりやすいように、すべての可能な組み合わせを以下に示す。
-.IP \(bu 4
-\fBrateest\fP \fIoperator\fP \fBrateest\-bps\fP
-.IP \(bu 4
-.\" * Absolute + Delta:
-\fBrateest\fP \fIoperator\fP \fBrateest\-pps\fP
-.IP \(bu 4
-(\fBrateest\fP minus \fBrateest\-bps1\fP) \fIoperator\fP \fBrateest\-bps2\fP
-.IP \(bu 4
-.\" * Relative:
-(\fBrateest\fP minus \fBrateest\-pps1\fP) \fIoperator\fP \fBrateest\-pps2\fP
-.IP \(bu 4
-\fBrateest1\fP \fIoperator\fP \fBrateest2\fP \fBrateest\-bps\fP(without rate!)
-.IP \(bu 4
-.\" * Relative + Delta:
-\fBrateest1\fP \fIoperator\fP \fBrateest2\fP \fBrateest\-pps\fP(without rate!)
-.IP \(bu 4
-(\fBrateest1\fP minus \fBrateest\-bps1\fP) \fIoperator\fP (\fBrateest2\fP minus
-\fBrateest\-bps2\fP)
-.IP \(bu 4
-(\fBrateest1\fP minus \fBrateest\-pps1\fP) \fIoperator\fP (\fBrateest2\fP minus
-\fBrateest\-pps2\fP)
-.TP
-\fB\-\-rateest\-delta\fP
-(絶対モードでも相対モードでも) 各レート推測器について、 レート推測器が推測したフローレートと BPS/PPS
-オプションで指定された固定値の差分を計算する。 フローレートが指定された BPS/PPS よりも大きい場合、 負の値ではなく 0 が代わりに使用される。
-つまり "max(0, rateest#_rate \- rateest#_bps)" が使用される。
-.TP
-[\fB!\fP] \fB\-\-rateest\-lt\fP
-レートが指定されたレートかレート推測器のレートよりも低い場合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-rateest\-gt\fP
-レートが指定されたレートかレート推測器のレートよりも高い場合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-rateest\-eq\fP
-レートが指定されたレートかレート推測器のレートと等しい場合にマッチする。
-.PP
-いわゆる「絶対モード」では、使用できるレート推測器は一つだけであり、固定値に対する比較だけができる。一方、「相対モード」では、2
-つのレート推測器が使用でき、レート推測器どうしの比較ができる。
-.TP
-\fB\-\-rateest\fP \fIname\fP
-絶対モードで使用するレート推測器の名前
-.TP
-\fB\-\-rateest1\fP \fIname\fP
-.TP
-\fB\-\-rateest2\fP \fIname\fP
-相対モードで使用する 2 つレート推測器の名前
-.TP
-\fB\-\-rateest\-bps\fP [\fIvalue\fP]
-.TP
-\fB\-\-rateest\-pps\fP [\fIvalue\fP]
-.TP
-\fB\-\-rateest\-bps1\fP [\fIvalue\fP]
-.TP
-\fB\-\-rateest\-bps2\fP [\fIvalue\fP]
-.TP
-\fB\-\-rateest\-pps1\fP [\fIvalue\fP]
-.TP
-\fB\-\-rateest\-pps2\fP [\fIvalue\fP]
-レート推測器と指定した値を、秒間のバイト数またはパケット数で比較する。 どのオプションがどの場合に使用できるかは上の箇条書きのリストを見てほしい。
-単位を示す接尾辞を付けることができる。 bit, [kmgt]bit, [KMGT]ibit, Bps, [KMGT]Bps, [KMGT]iBps
-が使用できる。
-.PP
-例: この機能を、データコネクションの開始時に利用可能帯域に基づいて、 FTP サーバーからの出力データコネクションを 2
-つの回線に振り分けるのに使用する場合。
-.PP
-# 出力レートを推定する
-.PP
-iptables \-t mangle \-A POSTROUTING \-o eth0 \-j RATEEST \-\-rateest\-name eth0
-\-\-rateest\-interval 250ms \-\-rateest\-ewma 0.5s
-.PP
-iptables \-t mangle \-A POSTROUTING \-o ppp0 \-j RATEEST \-\-rateest\-name ppp0
-\-\-rateest\-interval 250ms \-\-rateest\-ewma 0.5s
-.PP
-# 利用可能帯域に基づいてマーキングを行う
-.PP
-iptables \-t mangle \-A balance \-m conntrack \-\-ctstate NEW \-m helper \-\-helper
-ftp \-m rateest \-\-rateest\-delta \-\-rateest1 eth0 \-\-rateest\-bps1 2.5mbit
-\-\-rateest\-gt \-\-rateest2 ppp0 \-\-rateest\-bps2 2mbit \-j CONNMARK \-\-set\-mark 1
-.PP
-iptables \-t mangle \-A balance \-m conntrack \-\-ctstate NEW \-m helper \-\-helper
-ftp \-m rateest \-\-rateest\-delta \-\-rateest1 ppp0 \-\-rateest\-bps1 2mbit
-\-\-rateest\-gt \-\-rateest2 eth0 \-\-rateest\-bps2 2.5mbit \-j CONNMARK \-\-set\-mark 2
-.PP
-iptables \-t mangle \-A balance \-j CONNMARK \-\-restore\-mark
-.SS "realm (IPv4 の場合)"
-This matches the routing realm. Routing realms are used in complex routing
-setups involving dynamic routing protocols like BGP.
-.TP
-[\fB!\fP] \fB\-\-realm\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Matches a given realm number (and optionally mask). If not a number, value
-can be a named realm from /etc/iproute2/rt_realms (mask can not be used in
-that case).
-.SS recent
-IP アドレスのリストを動的に作成し、このリストに対するマッチングをいくつかの方法で行う。
-.PP
-例えば、 あなたのファイアウォールの 139 番ポートに接続しようとした「悪ガキ」リストを作成し、
-そのアドレスからのこれ以降のすべてのパケットを「廃棄」する。
-.PP
-\fB\-\-set\fP, \fB\-\-rcheck\fP, \fB\-\-update\fP, \fB\-\-remove\fP は同時に使用できない。
-.TP
-\fB\-\-name\fP \fIname\fP
-コマンドで使用するリストを指定する。名前が指定されなかった場合 \fBDEFAULT\fP が使用される。
-.TP
-[\fB!\fP] \fB\-\-set\fP
-リストにパケットの送信元アドレスを追加する。 その送信元アドレスがすでにリストにある場合は、既存のエントリーを更新する。 常に成功を返す (\fB!\fP
-が指定されている場合は常に失敗を返す)。
-.TP
-\fB\-\-rsource\fP
-recent リストのテーブルの照合/保存で、各パケットの送信元アドレスを使う。 これがデフォルトである。
-.TP
-\fB\-\-rdest\fP
-recent リストのテーブルの照合/保存で、各パケットの宛先アドレスを使う。
-.TP
-\fB\-\-mask\fP \fInetmask\fP
-この recent リストに適用するネットマスク。
-.TP
-[\fB!\fP] \fB\-\-rcheck\fP
-このパケットの送信元アドレスが現在リストに含まれるかをチェックする。
-.TP
-[\fB!\fP] \fB\-\-update\fP
-\fB\-\-rcheck\fP と同じだが、 このオプションではマッチした場合に "last seen" タイムスタンプを更新する。
-.TP
-[\fB!\fP] \fB\-\-remove\fP
-パケットの送信元アドレスが現在リストに含まれているかをチェックし、 含まれている場合、そのアドレスをリストから削除し、ルールは true を返す。
-アドレスが含まれない場合、false を返す。
-.TP
-\fB\-\-seconds\fP \fIseconds\fP
-このオプションは \fB\-\-rcheck\fP か \fB\-\-update\fP との組み合わせでのみ使用できる。 使用された場合、
-アドレスがリストに含まれ、かつそのアドレスが直近の指定された秒数以内に観測された場合にのみ、 マッチするようになる。
-.TP
-\fB\-\-reap\fP
-このオプションは \fB\-\-seconds\fP との組み合わせでのみ使用できる。 使用された場合、 最後に指定された秒数より古いエントリーを破棄する。
-.TP
-\fB\-\-hitcount\fP \fIhits\fP
-このオプションは \fB\-\-rcheck\fP か \fB\-\-update\fP との組み合わせて使用しなければならない。 使用された場合、
-アドレスがリストに含まれ、受信されたパケット数が指定した値以上の場合にのみマッチするようになる。 このオプションは \fB\-\-seconds\fP
-と共に使用することもでき、 その場合は指定された時間内のヒット数に対して照合を行う。 hitcount パラメータの最大値は xt_recent
-カーネルモードの "ip_pkt_list_tot" パラメータで規定される。
-このコマンドリストでこの値よりも大きな値を指定すると、そのルールは拒否される。
-.TP
-\fB\-\-rttl\fP
-このオプションは \fB\-\-rcheck\fP か \fB\-\-update\fP との組み合わせでのみ使用できる。 使用された場合、
-アドレスがリストに含まれ、かつ現在のパケットの TTL が \fB\-\-set\fP ルールにヒットしたパケットの TTL
-にマッチする場合にのみマッチするようになる。 このオプションは、
-送信元アドレスを偽装する人が偽りのパケットを送信して、このモジュールを使ってあなたのサイトへの他のアクセスができないようにする DoS
-攻撃がある場合などに役に立つかもしれない。
-.PP
-例:
-.IP
-iptables \-A FORWARD \-m recent \-\-name badguy \-\-rcheck \-\-seconds 60 \-j DROP
-.IP
-iptables \-A FORWARD \-p tcp \-i eth0 \-\-dport 139 \-m recent \-\-name badguy \-\-set
-\-j DROP
-.PP
-\fB/proc/net/xt_recent/*\fP は現在のアドレスのリストと各リストの各エントリーの情報である。
-.PP
-\fB/proc/net/xt_recent/\fP の各ファイルは、読み出して現在のリストを確認することができる。 また、以下のコマンドを使って、
-これらのファイルに書き込んでリストを変更することができる。
-.TP
-\fBecho +\fP\fIaddr\fP\fB >/proc/net/xt_recent/DEFAULT\fP
-DEFAULT リストに \fIaddr\fP を追加する
-.TP
-\fBecho \-\fP\fIaddr\fP\fB >/proc/net/xt_recent/DEFAULT\fP
-DEFAULT リストから \fIaddr\fP を削除する
-.TP
-\fBecho / >/proc/net/xt_recent/DEFAULT\fP
-DEFAULT リストをフラッシュ (全エントリーを削除) する
-.PP
-モジュール自体もパラメーターを取り、デフォルトは以下の通りである。
-.TP
-\fBip_list_tot\fP=\fI100\fP
-テーブル単位の記録アドレス数。
-.TP
-\fBip_pkt_list_tot\fP=\fI20\fP
-アドレス単位の記録パケット数。
-.TP
-\fBip_list_hash_size\fP=\fI0\fP
-ハッシュテーブルサイズ。 0 は ip_list_tot に基づいて計算することを意味する。 デフォルトは 512。
-.TP
-\fBip_list_perms\fP=\fI0644\fP
-/proc/net/xt_recent/* ファイルのアクセス許可モード。
-.TP
-\fBip_list_uid\fP=\fI0\fP
-/proc/net/xt_recent/* ファイルの数値 ID での所有者。
-.TP
-\fBip_list_gid\fP=\fI0\fP
-/proc/net/xt_recent/* ファイルの数値 ID でのグループ所有者。
-.SS rpfilter
-パケットに対して reverse path フィルターテストを行う。
-パケットに対する応答がパケットが到着したインターフェースと同じインターフェースから送信される場合、そのパケットにマッチする。 カーネル内の
-rp_filter と異なり、 IPsec で保護されたパケットが特別扱いされない点に注意すること。
-必要な場合は、このマッチをポリシーマッチと組み合わせて使うこと。 また、ループバックインターフェース経由で到着したパケットは常に許可される。
-このマッチは raw テーブルまたは mangle テーブルの PREROUTING チェインでのみ使用できる。
-.TP
-\fB\-\-loose\fP
-選択された出力デバイスが期待されたものではない場合であっても、 reverse path フィルターテストのマッチを行うことを指示する。
-.TP
-\fB\-\-validmark\fP
-reverse path の経路検索実行時にそのパケットの nfmark 値も使用する。
-.TP
-\fB\-\-accept\-local\fP
-ローカルマシンにも割り当てられている送信元アドレスを持つネットワークから到着したパケットを許可する。
-.TP
-\fB\-\-invert\fP
-マッチの意味を逆にする。 reverse path フィルターテストに合格したパケットにマッチするのではなく、テストに失敗したパケットにマッチする。
-.PP
-reverse path フィルターテストに失敗したパケットをロギングし破棄する例
-
-iptables \-t raw \-N RPFILTER
-
-iptables \-t raw \-A RPFILTER \-m rpfilter \-j RETURN
-
-iptables \-t raw \-A RPFILTER \-m limit \-\-limit 10/minute \-j NFLOG
-\-\-nflog\-prefix "rpfilter drop"
-
-iptables \-t raw \-A RPFILTER \-j DROP
-
-iptables \-t raw \-A PREROUTING \-j RPFILTER
-
-失敗したパケットをドロップするが、ロギングを行わない例
-
-iptables \-t raw \-A RPFILTER \-m rpfilter \-\-invert \-j DROP
-.SS "rt (IPv6 のみ)"
-IPv6 ルーティングヘッダーに対してマッチする。
-.TP
-[\fB!\fP] \fB\-\-rt\-type\fP \fItype\fP
-指定したタイプ (数値) にマッチする。
-.TP
-[\fB!\fP] \fB\-\-rt\-segsleft\fP \fInum\fP[\fB:\fP\fInum\fP]
-`segments left' フィールド (範囲) にマッチする。
-.TP
-[\fB!\fP] \fB\-\-rt\-len\fP \fIlength\fP
-このヘッダーの長さにマッチする。
-.TP
-\fB\-\-rt\-0\-res\fP
-予約フィールド (type=0) にもマッチする。
-.TP
-\fB\-\-rt\-0\-addrs\fP \fIaddr\fP[\fB,\fP\fIaddr\fP...]
-type=0 のアドレス (リスト) にマッチする。
-.TP
-\fB\-\-rt\-0\-not\-strict\fP
-type=0 のアドレスのリストは厳密なリストではない。
-.SS sctp
-.TP
-[\fB!\fP] \fB\-\-source\-port\fP,\fB\-\-sport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-destination\-port\fP,\fB\-\-dport\fP \fIport\fP[\fB:\fP\fIport\fP]
-.TP
-[\fB!\fP] \fB\-\-chunk\-types\fP {\fBall\fP|\fBany\fP|\fBonly\fP} \fIchunktype\fP[\fB:\fP\fIflags\fP] [...]
-大文字のフラグ文字はそのフラグがセットされている場合にマッチし、 小文字のフラグ文字はセットされていない場合にマッチすることを指示する。
-
-チャンク種別: DATA INIT INIT_ACK SACK HEARTBEAT HEARTBEAT_ACK ABORT SHUTDOWN
-SHUTDOWN_ACK ERROR COOKIE_ECHO COOKIE_ACK ECN_ECNE ECN_CWR SHUTDOWN_COMPLETE
-ASCONF ASCONF_ACK FORWARD_TSN
-
-チャンク種別で利用可能なフラグ
-.br
-DATA I U B E i u b e
-.br
-ABORT T t
-.br
-SHUTDOWN_COMPLETE T t
-
-(小文字はフラグを「オフ」にすることを、大文字は「オン」にすることを意味する)
-.P
-例:
-
-iptables \-A INPUT \-p sctp \-\-dport 80 \-j DROP
-
-iptables \-A INPUT \-p sctp \-\-chunk\-types any DATA,INIT \-j DROP
-
-iptables \-A INPUT \-p sctp \-\-chunk\-types any DATA:Be \-j ACCEPT
-.SS set
-このモジュールは \fBipsec\fP(8) で定義できる IP 集合にマッチする。
-.TP
-[\fB!\fP] \fB\-\-match\-set\fP \fIsetname\fP \fIflag\fP[\fB,\fP\fIflag\fP]...
-where flags are the comma separated list of \fBsrc\fP and/or \fBdst\fP
-specifications and there can be no more than six of them. Hence the command
-.IP
- iptables \-A FORWARD \-m set \-\-match\-set test src,dst
-.IP
-will match packets, for which (if the set type is ipportmap) the source
-address and destination port pair can be found in the specified set. If the
-set type of the specified set is single dimension (for example ipmap), then
-the command will match packets for which the source address can be found in
-the specified set.
-.TP
-\fB\-\-return\-nomatch\fP
-If the \fB\-\-return\-nomatch\fP option is specified and the set type supports the
-\fBnomatch\fP flag, then the matching is reversed: a match with an element
-flagged with \fBnomatch\fP returns \fBtrue\fP, while a match with a plain element
-returns \fBfalse\fP.
-.TP
-\fB!\fP \fB\-\-update\-counters\fP
-If the \fB\-\-update\-counters\fP flag is negated, then the packet and byte
-counters of the matching element in the set won't be updated. Default the
-packet and byte counters are updated.
-.TP
-\fB!\fP \fB\-\-update\-subcounters\fP
-If the \fB\-\-update\-subcounters\fP flag is negated, then the packet and byte
-counters of the matching element in the member set of a list type of set
-won't be updated. Default the packet and byte counters are updated.
-.TP
-[\fB!\fP] \fB\-\-packets\-eq\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the packet
-counter of the element matches the given value too.
-.TP
-\fB\-\-packets\-lt\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the packet
-counter of the element is less than the given value as well.
-.TP
-\fB\-\-packets\-gt\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the packet
-counter of the element is greater than the given value as well.
-.TP
-[\fB!\fP] \fB\-bytes\-eq\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the byte
-counter of the element matches the given value too.
-.TP
-\fB\-\-bytes\-lt\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the byte
-counter of the element is less than the given value as well.
-.TP
-\fB\-\-bytes\-gt\fP \fIvalue\fP
-If the packet is matched an element in the set, match only if the byte
-counter of the element is greater than the given value as well.
-.PP
-The packet and byte counters related options and flags are ignored when the
-set was defined without counter support.
-.PP
-The option \fB\-\-match\-set\fP can be replaced by \fB\-\-set\fP if that does not clash
-with an option of other extensions.
-.PP
-Use of \-m set requires that ipset kernel support is provided, which, for
-standard kernels, is the case since Linux 2.6.39.
-.SS socket
-This matches if an open TCP/UDP socket can be found by doing a socket lookup
-on the packet. It matches if there is an established or non\-zero bound
-listening socket (possibly with a non\-local address). The lookup is
-performed using the \fBpacket\fP tuple of TCP/UDP packets, or the original
-TCP/UDP header \fBembedded\fP in an ICMP/ICPMv6 error packet.
-.TP
-\fB\-\-transparent\fP
-非透過 (non\-transparent) ソケットを無視する。
-.TP
-\fB\-\-nowildcard\fP
-Do not ignore sockets bound to 'any' address. The socket match won't accept
-zero\-bound listeners by default, since then local services could intercept
-traffic that would otherwise be forwarded. This option therefore has
-security implications when used to match traffic being forwarded to redirect
-such packets to local machine with policy routing. When using the socket
-match to implement fully transparent proxies bound to non\-local addresses it
-is recommended to use the \-\-transparent option instead.
-.PP
-Example (assuming packets with mark 1 are delivered locally):
-.IP
-\-t mangle \-A PREROUTING \-m socket \-\-transparent \-j MARK \-\-set\-mark 1
-.SS state
-"state" 拡張は "conntrack" モジュールのサブセットである。 "state" を使うと、
-パケットについてのコネクション追跡状態を参照できる。
-.TP
-[\fB!\fP] \fB\-\-state\fP \fIstate\fP
-state はマッチするコネクション状態のカンマ区切りのリストである。 "conntrack" が理解できる状態の一部だけが指定できる。 指定できるのは
-\fBINVALID\fP, \fBESTABLISHED\fP, \fBNEW\fP, \fBRELATED\fP, \fBUNTRACKED\fP である。
-これらの説明はこのマニュアルページの "conntrack" の説明を参照のこと。
-.SS statistic
-このモジュールは統計的な条件に基づいたパケットのマッチングを行う。 二つのモードがサポートされており、 \fB\-\-mode\fP オプションで設定できる。
-.PP
-サポートされているオプション:
-.TP
-\fB\-\-mode\fP \fImode\fP
-マッチングルールのマッチングモードを設定する。 サポートされているモードは \fBrandom\fP と \fBnth\fP である。
-.TP
-[\fB!\fP] \fB\-\-probability\fP \fIp\fP
-ランダムにパケットがマッチする確率を設定する。 \fBrandom\fP モードでのみ機能する。 \fIp\fP は 0.0 と 1.0 の範囲でなければならない。
-サポートされている粒度は 1/2147483648 である。
-.TP
-[\fB!\fP] \fB\-\-every\fP \fIn\fP
-n パケットに 1 つマッチする。 \fBnth\fP モードでのみ機能する (\fB\-\-packet\fP オプションも参照)。
-.TP
-\fB\-\-packet\fP \fIp\fP
-\fBnth\fP モードでカウンターの初期値を設定する (0 <= p <= n\-1, デフォルトは 0)。
-.SS string
-このモジュールは、いくつかのパターンマッチ手法を用いて指定された文字列とのマッチを行う。 Linux カーネル 2.6.14 以上が必要である。
-.TP
-\fB\-\-algo\fP {\fBbm\fP|\fBkmp\fP}
-パターンマッチング手法を選択する (bm = Boyer\-Moore, kmp = Knuth\-Pratt\-Morris)
-.TP
-\fB\-\-from\fP \fIoffset\fP
-マッチングの検索を開始するオフセットを設定する。 指定されなかった場合のデフォルトは 0 である。
-.TP
-\fB\-\-to\fP \fIoffset\fP
-検索を終了するオフセットを設定する。 バイト \fIoffset\fP\-1 (バイト番号は 0 から開始) が検索範囲の最終バイトとなる。
-指定されなかった場合、デフォルトはパケットサイズである。
-.TP
-[\fB!\fP] \fB\-\-string\fP \fIpattern\fP
-指定されたパターンにマッチする。
-.TP
-[\fB!\fP] \fB\-\-hex\-string\fP \fIpattern\fP
-指定された 16 進表記のパターンにマッチする。
-.TP
-例:
-.IP
-# 文字列パターンは単純なテキスト文字を探すのに使用できる。
-.br
-iptables \-A INPUT \-p tcp \-\-dport 80 \-m string \-\-algo bm \-\-string 'GET
-/index.html' \-j LOG
-.IP
-16 進数文字列のパターンは表示可能文字以外を検索するのに使用できる。 |0D 0A| や |0D0A| など。
-.br
-iptables \-p udp \-\-dport 53 \-m string \-\-algo bm \-\-from 40 \-\-to 57
-\-\-hex\-string '|03|www|09|netfilter|03|org|00|'
-.SS tcp
-これらの拡張は `\-\-protocol tcp' が指定され場合に使用できる。 以下のオプションが提供される:
-.TP
-[\fB!\fP] \fB\-\-source\-port\fP,\fB\-\-sport\fP \fIport\fP[\fB:\fP\fIport\fP]
-送信元ポートまたはポート範囲の指定。 サービス名またはポート番号を指定できる。 \fIfirst\fP\fB:\fP\fIlast\fP という形式で、 2
-つの番号を含む範囲を指定することもできる。 最初のポートを省略した場合、 "0" を仮定する。 最後のポートを省略した場合、 "65535"
-を仮定する。 最初のポートが最後のポートより大きい場合、 2 つは入れ換えられる。 フラグ \fB\-\-sport\fP は、
-このオプションの便利な別名である。
-.TP
-[\fB!\fP] \fB\-\-destination\-port\fP,\fB\-\-dport\fP \fIport\fP[\fB:\fP\fIport\fP]
-宛先ポートまたはポート範囲の指定。 フラグ \fB\-\-dport\fP は、 このオプションの便利な別名である。
-.TP
-[\fB!\fP] \fB\-\-tcp\-flags\fP \fImask\fP \fIcomp\fP
-TCP フラグが指定されたものと等しい場合にマッチする。 第 1 引き数 \fImask\fP は評価対象とするフラグで、 コンマ区切りのリストである。 第
-2 引き数 \fIcomp\fP は必ず設定しなければならないフラグで、 コンマ区切りのリストである。 指定できるフラグは \fBSYN ACK FIN RST
-URG PSH ALL NONE\fP である。 よって、 コマンド
-.nf
- iptables \-A FORWARD \-p tcp \-\-tcp\-flags SYN,ACK,FIN,RST SYN
-.fi
-は、 SYN フラグが設定され ACK, FIN, RST フラグが設定されていない パケットにのみマッチする。
-.TP
-[\fB!\fP] \fB\-\-syn\fP
-SYN ビットが設定され ACK, RST, FIN ビットがクリアされている TCP パケットにのみマッチする。 このようなパケットは TCP
-コネクションの開始要求に使われる。 例えば、 あるインターフェースに入ってくるこのようなパケットをブロックすれば、 内側への TCP
-コネクションは禁止されるが、 外側への TCP コネクションには影響しない。 これは \fB\-\-tcp\-flags SYN,RST,ACK,FIN
-SYN\fP と等しい。 "\-\-syn" の前に "!" フラグ
-を置くと、 SYN ビットがクリアされ ACK と RST ビットが設定されている
-TCP パケットにのみマッチする。
-.TP
-[\fB!\fP] \fB\-\-tcp\-option\fP \fInumber\fP
-TCP オプションが設定されている場合にマッチする。
-.SS tcpmss
-TCP ヘッダーの TCP MSS (maximum segment size) フィールドにマッチする。 TCP の SYN パケットか
-SYN/ACK パケットに対してのみ利用できる。 MSS のネゴシエーションはコネクション開始時の TCP ハンドシェイク中だけだからである。
-.TP
-[\fB!\fP] \fB\-\-mss\fP \fIvalue\fP[\fB:\fP\fIvalue\fP]
-指定された TCP MSS 値か範囲にマッチする。
-.SS time
-このモジュールはパケットの到着時刻/日付が指定された範囲内の場合にマッチする。 すべてのオプションが任意オプションで、 複数指定した場合は AND
-と解釈される。 デフォルトではすべての時刻は UTC と解釈される。
-.TP
-\fB\-\-datestart\fP \fIYYYY\fP[\fB\-\fP\fIMM\fP[\fB\-\fP\fIDD\fP[\fBT\fP\fIhh\fP[\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]]]]]
-.TP
-\fB\-\-datestop\fP \fIYYYY\fP[\fB\-\fP\fIMM\fP[\fB\-\fP\fIDD\fP[\fBT\fP\fIhh\fP[\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]]]]]
-指定された時刻 (日付も含む) の範囲にある場合にマッチする。 時刻は ISO 8601 "T" 表記でなければならない。 指定可能な範囲は
-1970\-01\-01T00:00:00 から 2038\-01\-19T04:17:07 である。
-.IP
-\-\-datestart と \-\-datestop は、指定されなかった場合、それぞれ 1970\-01\-01 と 2038\-01\-19 とみなされます。
-.TP
-\fB\-\-timestart\fP \fIhh\fP\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]
-.TP
-\fB\-\-timestop\fP \fIhh\fP\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]
-指定された時刻 (日付は含まない) の範囲にある場合にマッチする。 指定可能な範囲は 00:00:00 から 23:59:59 である。
-("06:03" のように) 先頭に 0 を付けてもよい。 この場合も 10 進数として正しく解釈される。
-.TP
-[\fB!\fP] \fB\-\-monthdays\fP \fIday\fP[\fB,\fP\fIday\fP...]
-指定された月の日付にマッチする。 指定可能な値は \fB1\fP から \fB31\fP である。 もちろん \fB31\fP を指定した場合 31
-日がない月ではマッチしない。 同じことが 2 月 29 日についても言える。
-.TP
-[\fB!\fP] \fB\-\-weekdays\fP \fIday\fP[\fB,\fP\fIday\fP...]
-指定した曜日にマッチする。 指定可能な値は \fBMon\fP, \fBTue\fP, \fBWed\fP, \fBThu\fP, \fBFri\fP, \fBSat\fP, \fBSun\fP
-および \fB1\fP から \fB7\fP の値である。 また、2 文字の曜日指定 (\fBMo\fP, \fBTu\fP など) も使用できる。
-.TP
-\fB\-\-contiguous\fP
-\fB\-\-timestop\fP が \fB\-\-timestart\fP よりも小さい場合、複数の期間ではなく、一つの時間帯としてマッチするようにする。 例を参照。
-.TP
-\fB\-\-kerneltz\fP
-パケットが時刻指定にマッチするかを判定する際に UTC ではなくカーネルタイムゾーンを使用する。
-.PP
-About kernel timezones: Linux keeps the system time in UTC, and always does
-so. On boot, system time is initialized from a referential time
-source. Where this time source has no timezone information, such as the x86
-CMOS RTC, UTC will be assumed. If the time source is however not in UTC,
-userspace should provide the correct system time and timezone to the kernel
-once it has the information.
-.PP
-Local time is a feature on top of the (timezone independent) system
-time. Each process has its own idea of local time, specified via the TZ
-environment variable. The kernel also has its own timezone offset
-variable. The TZ userspace environment variable specifies how the UTC\-based
-system time is displayed, e.g. when you run date(1), or what you see on your
-desktop clock. The TZ string may resolve to different offsets at different
-dates, which is what enables the automatic time\-jumping in userspace. when
-DST changes. The kernel's timezone offset variable is used when it has to
-convert between non\-UTC sources, such as FAT filesystems, to UTC (since the
-latter is what the rest of the system uses).
-.PP
-The caveat with the kernel timezone is that Linux distributions may ignore
-to set the kernel timezone, and instead only set the system time. Even if a
-particular distribution does set the timezone at boot, it is usually does
-not keep the kernel timezone offset \- which is what changes on DST \- up to
-date. ntpd will not touch the kernel timezone, so running it will not
-resolve the issue. As such, one may encounter a timezone that is always
-+0000, or one that is wrong half of the time of the year. As such, \fBusing
-\-\-kerneltz is highly discouraged.\fP
-.PP
-例をいくつか。 週末にマッチさせる場合:
-.IP
-\-m time \-\-weekdays Sa,Su
-.PP
-国の祝日に (一度だけ) マッチさせる場合:
-.IP
-\-m time \-\-datestart 2007\-12\-24 \-\-datestop 2007\-12\-27
-.PP
-終了時刻も実際には含まれるので、新年の最初の 1 秒にマッチしないように終了時刻を以下のように指定する必要がある:
-.IP
-\-m time \-\-datestart 2007\-01\-01T17:00 \-\-datestop 2007\-01\-01T23:59:59
-.PP
-昼御飯の時間帯:
-.IP
-\-m time \-\-timestart 12:30 \-\-timestop 13:30
-.PP
-第 4 金曜日:
-.IP
-\-m time \-\-weekdays Fr \-\-monthdays 22,23,24,25,26,27,28
-.PP
-(これは数学的な性質を利用している点に留意すること。 一つのルールで「第 4 木曜日 または 第 4 金曜日」と指定することはできない。
-複数ルールで指定することはできるが。)
-.PP
-日をまたぐマッチングは期待するようには動かないだろう。例えば、
-.IP
-\-m time \-\-weekdays Mo \-\-timestart 23:00 \-\-timestop 01:00 は、月曜日の 0 時から午前 1 時の
-1 時間にマッチし、 その後さらに 23 時からの 1 時間にもマッチする。 これが希望通りでない場合、例えば、月曜日 23 時から 2
-時間にマッチさせたい場合は、 上記に追加で \-\-contiguous オプションも指定する必要がある。
-.SS tos
-このモジュールは IPv4 ヘッダーの 8 ビットの Type of Service フィールド (すなわち上位ビットを含まれる) もしくは IPv6
-ヘッダーの (8 ビットの) Priority フィールドにマッチする。
-.TP
-[\fB!\fP] \fB\-\-tos\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-指定された TOS マーク値を持つパケットにマッチする。 mask が指定されると、 比較の前に TOS マーク値との論理積 (AND) がとられる)。
-.TP
-[\fB!\fP] \fB\-\-tos\fP \fIsymbol\fP
-IPv4 の tos フィールドに対するマッチを指定する際にシンボル名を使うことができる。 iptables を \fB\-m tos \-h\fP
-で呼び出すと、利用可能な TOS 名の一覧を得ることができる。
-シンボル名を使った場合、 mask として 0x3F が使用される (0x3F は ECN ビット以外の全ビットである)。
-.SS "ttl (IPv4 の場合)"
-このモジュールは IP ヘッダーの time to live フィールドにマッチする。
-.TP
-[\fB!\fP] \fB\-\-ttl\-eq\fP \fIttl\fP
-指定された TTL 値にマッチする。
-.TP
-\fB\-\-ttl\-gt\fP \fIttl\fP
-TTL が指定された TTL 値より大きければマッチする。
-.TP
-\fB\-\-ttl\-lt\fP \fIttl\fP
-TTL が指定された TTL 値より小さければマッチする。
-.SS u32
-U32 は、パケットから最大 4 バイトの数値を取り出して、指定した値を持つかの検査を行う。 どこを取り出すかの指定は汎用的になっており、TCP
-ヘッダーやペイロードから指定したオフセットのデータを取り出すことができる。
-.TP
-[\fB!\fP] \fB\-\-u32\fP \fItests\fP
-引き数は、以下で説明する小さな言語のプログラムになる。
-.IP
-tests := location "=" value | tests "&&" location "=" value
-.IP
-value := range | value "," range
-.IP
-range := number | number ":" number
-.PP
-数字 1 個 \fIn\fP は \fIn:n\fP と同じものと解釈される。 \fIn:m\fP は \fB>=n\fP かつ \fB<=m\fP
-の範囲の数字と解釈される。
-.IP "" 4
-location := number | location operator number
-.IP "" 4
-operator := "&" | "<<" | ">>" | "@"
-.PP
-オペレーター \fB&\fP, \fB<<\fP, \fB>>\fP, \fB&&\fP は C と同じ意味である。 \fB=\fP
-は集合の所属を検査するオペレーターで、値は集合として記述する。 \fB@\fP オペレーターは、次のヘッダーへの移動に使うオペレーターで、後で詳しく説明する。
-.PP
-現在のところ、テストの大きさにはいくつか実装から来る制約がある。
-.IP " *"
-u32 引き数あたりの "\fB=\fP" は最大 10 個まで ("\fB&&\fP" は 9 個まで)
-.IP " *"
-value あたりの range は 10 個まで (カンマは 9 個まで)
-.IP " *"
-一つの location あたりの number は最大 10 個まで (operator は 9 個まで)
-.PP
-location の意味を説明するために、 location を解釈する以下のようなマシンを考えてみる。 3 つのレジスターがある。
-.IP
-A は \fBchar *\fP 型で、最初は IP ヘッダーのアドレスが入っている。
-.IP
-B と C は 32 ビット整数で、最初は 0 である。
-.PP
-命令は以下の通り。
-.IP
-number B = number;
-.IP
-C = (*(A+B)<<24) + (*(A+B+1)<<16) + (*(A+B+2)<<8) +
-*(A+B+3)
-.IP
-&number C = C & number
-.IP
-<< number C = C << number
-.IP
->> number C = C >> number
-.IP
-@number A = A + C; この後、命令の数字を実行する
-.PP
-[skb\->data,skb\->end] 以外へのメモリアクセスはすべてマッチ失敗となる。 それ以外の場合、計算の結果が C
-の最終的な値となる。
-.PP
-ホワイトスペースを入れることはできるが、テストでは必須ではない。 しただし、テストに含まれる文字はシェルでのクォートが必要な場合もよくあるので、
-引き数全体をクォートで囲んでおくとよいだろう。
-.PP
-例:
-.IP
-トータル長が 256 以上の IP パケットにマッチする
-.IP
-IP ヘッダーではバイト 2\-3 にトータル長フィールドがある。
-.IP
-\-\-u32 "\fB0 & 0xFFFF = 0x100:0xFFFF\fP"
-.IP
-バイト 0\-3 を読み出し、
-.IP
-0xFFFF (バイト 2\-3 に対応) の論理積 (AND) を取り、 その値が範囲 [0x100:0xFFFF] にあるか検査する。
-.PP
-例: (もっと実用的な、したがってもっと複雑な例)
-.IP
-ICMP タイプが 0 の ICMP パケットにマッチする
-.IP
-まず ICMP パケットかどうか検査する。 バイト 9 (プロトコル) = 1 であれば真。
-.IP
-\-\-u32 "\fB6 & 0xFF = 1 &&\fP ...
-.IP
-バイト 6\-9 を読み出し、 \fB&\fP を使ってバイト 6\-8 を取り除き、 得られた値を 1 と比較する。 次に、フラグメントではないことを検査する
-(フラグメントの場合、パケットは ICMP パケットの一部かもしれないが、 常にそうだとは言えない)。 \fB注意\fP: 一般的に IP
-ヘッダーより先にあるものとマッチを行う場合にはこの検査は必要である。 このパケットが (フラグメントではない) 完全なパケットであれば、バイト 6
-の最後の 6 ビットとバイト 7 の全ビットが 0 である。 代わりに、 バイト 6 の最後の 5
-ビットを検査するだけで最初のフラグメントを許可することができる。
-.IP
-\&... \fB4 & 0x3FFF = 0 &&\fP ...
-.IP
-最後の検査として、 IP ヘッダー直後のバイト (ICMP タイプ) が 0 かを確認する。 ここで @ 記法を使う必要がある。 IP ヘッダーの長さ
-(IHL) は IP ヘッダー自身のバイト 0 の右半分に 32 ビットワードで格納されている。
-.IP
-\&... \fB0 >> 22 & 0x3C @ 0 >> 24 = 0\fP"
-.IP
-最初の 0 はバイト 0\-3 を読み出し、 \fB>>22\fP はその値を 22 ビット右にシフトすることを意味する。 24
-ビットシフトすると最初のバイトが得られるので、 22 ビットだけシフトすると (少し余計なビットが付いているが) その 4 倍の値が得られる。
-\fB&3C\fP で右側の余計な 2 ビットと最初のバイトの先頭 4 ビットを取り除く。 例えば、 IHL が 5 の場合 IP ヘッダーは 20 バイト
-(4 x 5) である。 この場合、バイト 0\-1 は (バイナリで) xxxx0101 yyzzzzzz であり、 \fB>>22\fP
-により 10 ビットの値 xxxx0101yy が得られ、 \fB&3C\fP で 010100 が得られる。 \fB@\fP
-は、この数字をパケットの新しいオフセットとして使用し、 この地点から始まる 4 バイトを読み出すことを意味する。 この 4 バイトは ICMP
-ペイロードの最初の 4 バイトであり、 バイト 0 が ICMP タイプである。 したがって、この値を 24
-ビット右にシフトして、最初のバイト以外をすべて取り除き、 その結果を 0 と比較するだけでよい。
-.PP
-例:
-.IP
-TCP ペイロードのバイト 8\-12 が 1, 2, 5, 8 のいずれかかを検査する
-.IP
-まず、パケットが TCP パケットであるかを検査する (ICMP と同様)。
-.IP
-\-\-u32 "\fB6 & 0xFF = 6 &&\fP ...
-.IP
-次に、フラグメントでないことを検査する (上記と同じ)。
-.IP
-\&... \fB0 >> 22 & 0x3C @ 12 >> 26 & 0x3C @ 8 = 1,2,5,8\fP"
-.IP
-上で説明した通り \fB0>>22&3C\fP で IP ヘッダーのバイト数を計算する。 \fB@\fP
-でこの値をパケットの新しいオフセットとし、これは TCP ヘッダーの先頭である。 TCP ヘッダー長 (これも 32 ビットワード) は TCP
-ヘッダーのバイト 12 の左半分にある。 \fB12>>26&3C\fP で TCP ヘッダーのバイト数を計算する (IP
-ヘッダーの場合と同様)。 "@" を使ってこれを新しいオフセットに設定する。この時点で TCP ペイロードの先頭を指している。 最後に、8
-でペイロードのバイト 8\-12 を読み出し、 \fB=\fP を使って取り出した値が 1, 2, 5, 8 のいずれかであるかチェックする。
-.SS udp
-これらの拡張は `\-\-protocol udp' が指定された場合に利用できる。 以下のオプションが提供される。
-.TP
-[\fB!\fP] \fB\-\-source\-port\fP,\fB\-\-sport\fP \fIport\fP[\fB:\fP\fIport\fP]
-送信元ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-source\-port\fP オプションの説明を参照すること。
-.TP
-[\fB!\fP] \fB\-\-destination\-port\fP,\fB\-\-dport\fP \fIport\fP[\fB:\fP\fIport\fP]
-宛先ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-destination\-port\fP オプションの説明を参照すること。
-.SS "unclean (IPv4 の場合)"
-このモジュールにはオプションがないが、 おかしく正常でないように見えるパケットにマッチする。 これは実験的なものとして扱われている。
-.SH ターゲットの拡張
-.\" @TARGET@
-iptables は拡張ターゲットモジュールを使うことができる: 以下のものが、 標準的なディストリビューションに含まれている。
-.SS AUDIT
-このターゲットを使うと、このターゲットにヒットしたパケットに対する監査 (audit) レコードを作成することができる。
-許可/廃棄/拒否されたパケットを記録するのに使用できる。 詳細については auditd(8) を参照。
-.TP
-\fB\-\-type\fP {\fBaccept\fP|\fBdrop\fP|\fBreject\fP}
-監査レコード種別を設定する。
-.PP
-例:
-.IP
-iptables \-N AUDIT_DROP
-.IP
-iptables \-A AUDIT_DROP \-j AUDIT \-\-type drop
-.IP
-iptables \-A AUDIT_DROP \-j DROP
-.SS CHECKSUM
-このターゲットは、 おかしいアプリケーションや古いアプリケーションに対する選択的な対処を可能にする。 mangle テーブルでのみ使用できる。
-.TP
-\fB\-\-checksum\-fill\fP
-Compute and fill in the checksum in a packet that lacks a checksum. This is
-particularly useful, if you need to work around old applications such as
-dhcp clients, that do not work well with checksum offloads, but don't want
-to disable checksum offload in your device.
-.SS CLASSIFY
-このモジュールを使うと skb\->priority の値を設定できる (その結果、そのパケットを特定の CBQ クラスに分類できる)。
-.TP
-\fB\-\-set\-class\fP \fImajor\fP\fB:\fP\fIminor\fP
-メジャークラスとマイナークラスの値を設定する。値は常に 16 進数として解釈される。 0x が前に付いていない場合であっても 16 進数と解釈される。
-.SS "CLUSTERIP (IPv4 の場合)"
-このモジュールを使うと、 ノードの前段に明示的に負荷分散装置を置かずに、 特定の IP アドレスと MAC
-アドレスを共有するノードの簡単なクラスターを構成することができる。 コネクションは、このクラスターのノード間で静的に分散される。
-.TP
-\fB\-\-new\fP
-新しい ClusterIP を作成する。 このオプションは、ここで指定する ClusterIP を使うルールの中で一番最初に設定しなければならない。
-.TP
-\fB\-\-hashmode\fP \fImode\fP
-ハッシュモードを指定する。 \fBsourceip\fP, \fBsourceip\-sourceport\fP,
-\fBsourceip\-sourceport\-destport\fP のいずれかでなければならない。
-.TP
-\fB\-\-clustermac\fP \fImac\fP
-ClusterIP の MAC アドレスを指定する。 リンク層のマルチキャストアドレスでなければならない。
-.TP
-\fB\-\-total\-nodes\fP \fInum\fP
-このクラスターの総ノード数。
-.TP
-\fB\-\-local\-node\fP \fInum\fP
-このクラスターのローカルノード番号。
-.TP
-\fB\-\-hash\-init\fP \fIrnd\fP
-ハッシュの初期化に使用される乱数シード値を指定する。
-.SS CONNMARK
-このモジュールは、 コネクションに関連付けられた netfilter の mark 値を設定する。 mark は 32 ビット幅である。
-.TP
-\fB\-\-set\-xmark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と ctmark の XOR を取る。
-.TP
-\fB\-\-save\-mark\fP [\fB\-\-nfmask\fP \fInfmask\fP] [\fB\-\-ctmask\fP \fIctmask\fP]
-指定されたマスクを使って、 パケットマーク (nfmark) をコネクションマーク (ctmark) にコピーする。 新しい ctmark
-値は以下のように決定される。
-.IP
-ctmark = (ctmark & ~ctmask) ^ (nfmark & nfmask)
-.IP
-\fIctmask\fP はどのビットをクリアするかを規定し、 \fInfmask\fP は nfmark のどのビットを ctmark と XOR
-するかを規定する。 \fIctmask\fP と \fInfmask\fP のデフォルト値は 0xFFFFFFFF である。
-.TP
-\fB\-\-restore\-mark\fP [\fB\-\-nfmask\fP \fInfmask\fP] [\fB\-\-ctmask\fP \fIctmask\fP]
-指定されたマスクを使って、 コネクションマーク (ctmark) をパケットマーク (nfmark) にコピーする。 新しい nfmark
-値は以下のように決定される。
-.IP
-nfmark = (nfmark & ~\fInfmask\fP) ^ (ctmark & \fIctmask\fP);
-.IP
-\fInfmask\fP はどのビットをクリアするかを規定し、 \fIctmask\fP は ctmark のどのビットを nfmark と XOR
-するかを規定する。 \fIctmask\fP と \fInfmask\fP のデフォルト値は 0xFFFFFFFF である。
-.IP
-\fB\-\-restore\-mark\fP は \fBmangle\fP テーブルでのみ有効である。
-.PP
-以下の簡易表現が \fB\-\-set\-xmark\fP の代わりに利用できる。
-.TP
-\fB\-\-and\-mark\fP \fIbits\fP
-ctmark と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-xmark 0/\fP\fIinvbits\fP の簡易表現、
-\fIinvbits\fP は \fIbits\fP のビット単位の否定である)。
-.TP
-\fB\-\-or\-mark\fP \fIbits\fP
-ctmark と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/\fP\fIbits\fP の簡易表現)。
-.TP
-\fB\-\-xor\-mark\fP \fIbits\fP
-ctmark と \fIbits\fP のビット XOR を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/0\fP の簡易表現)。
-.TP
-\fB\-\-set\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-コネクションマークを設定する。 mask が指定された場合、 mask で指定されたビットだけが変更される。
-.TP
-\fB\-\-save\-mark\fP [\fB\-\-mask\fP \fImask\fP]
-nfmark を ctmark へコピーする。 mask が指定された場合、そのビットだけがコピーされる。
-.TP
-\fB\-\-restore\-mark\fP [\fB\-\-mask\fP \fImask\fP]
-ctmark を nfmark にコピーする。 mask が指定されると、 指定されたビットだけがコピーされる。 \fBmangle\fP
-テーブルのみで有効である。
-.SS CONNSECMARK
-This module copies security markings from packets to connections (if
-unlabeled), and from connections back to packets (also only if unlabeled).
-Typically used in conjunction with SECMARK, it is valid in the \fBsecurity\fP
-table (for backwards compatibility with older kernels, it is also valid in
-the \fBmangle\fP table).
-.TP
-\fB\-\-save\fP
-If the packet has a security marking, copy it to the connection if the
-connection is not marked.
-.TP
-\fB\-\-restore\fP
-If the packet does not have a security marking, and the connection does,
-copy the security marking from the connection to the packet.
-
-.SS CT
-The CT target allows to set parameters for a packet or its associated
-connection. The target attaches a "template" connection tracking entry to
-the packet, which is then used by the conntrack core when initializing a new
-ct entry. This target is thus only valid in the "raw" table.
-.TP
-\fB\-\-notrack\fP
-このパケットに対するコネクション追跡を無効にする。
-.TP
-\fB\-\-helper\fP \fIname\fP
-\fIname\fP で指定されるヘルパーをこのコネクションで使用する。 この方法は、あらかじめ設定したポートに対して conntrack
-ヘルパーモジュールをロードするよりも柔軟性がある。
-.TP
-\fB\-\-ctevents\fP \fIevent\fP[\fB,\fP...]
-Only generate the specified conntrack events for this connection. Possible
-event types are: \fBnew\fP, \fBrelated\fP, \fBdestroy\fP, \fBreply\fP, \fBassured\fP,
-\fBprotoinfo\fP, \fBhelper\fP, \fBmark\fP (this refers to the ctmark, not nfmark),
-\fBnatseqinfo\fP, \fBsecmark\fP (ctsecmark).
-.TP
-\fB\-\-expevents\fP \fIevent\fP[\fB,\fP...]
-Only generate the specified expectation events for this connection.
-Possible event types are: \fBnew\fP.
-.TP
-\fB\-\-zone\fP \fIid\fP
-Assign this packet to zone \fIid\fP and only have lookups done in that zone.
-By default, packets have zone 0.
-.TP
-\fB\-\-timeout\fP \fIname\fP
-Use the timeout policy identified by \fIname\fP for the connection. This is
-provides more flexible timeout policy definition than global timeout values
-available at /proc/sys/net/netfilter/nf_conntrack_*_timeout_*.
-.SS DNAT
-このターゲットは \fBnat\fP テーブルの \fBPREROUTING\fP, \fBOUTPUT\fP チェイン、 これらのチェインから呼び出される
-ユーザー定義チェインのみで有効である。 このターゲットはパケットの宛先アドレスを修正する (このコネクションの以降のパケットも修正して分からなく
-(mangle) する)。 さらに、 ルールによるチェックを止めさせる。 このターゲットは以下のオプションを取る。
-.TP
-\fB\-\-to\-destination\fP [\fIipaddr\fP[\fB\-\fP\fIipaddr\fP]][\fB:\fP\fIport\fP[\fB\-\fP\fIport\fP]]
-1 つの新しい宛先 IP アドレス、 または IP アドレスの範囲が指定できる。 また、ルールでプロトコルとして \fBtcp\fP, \fBudp\fP,
-\fBdccp\fP, \fBsctp\fP のいずれが指定されている場合は、ポートの範囲を指定することもできる。 ポートの範囲が指定されていない場合、
-宛先ポートは変更されない。 IP アドレスが指定されなかった場合は、 宛先ポートだけが変更される。 2.6.10 以前のカーネルでは、 複数の
-\-\-to\-destination オプションを指定することができる。 これらのカーネルでは、 アドレスの範囲指定や \-\-to\-destination
-オプションの複数回指定により 2 つ以上の宛先アドレスを指定した場合、 それらのアドレスを使った単純なラウンドロビンによる負荷分散が行われる。
-それ以降のカーネル (>= 2.6.11\-rc1) には複数の範囲を NAT する機能は存在しない。
-.TP
-\fB\-\-random\fP
-\fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.22 以降)。
-.TP
-\fB\-\-persistent\fP
-クライアントの各コネクションに同じ送信元アドレス/宛先アドレスを割り当てる。 これは SAME ターゲットよりも優先される。 persistent
-マッピングのサポートは 2.6.29\-rc2 以降で利用可能である。
-.TP
-IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
-.SS "DNPT (IPv6 のみ)"
-(RFC 6296 で説明されている) ステートレス IPv6\-to\-IPv6 宛先ネットワークプレフィックス変換を提供する。
-.PP
-このターゲットは \fBnat\fP テーブルではなく \fBmangle\fP テーブルで使わなければならない。 以下のオプションを取る。
-.TP
-\fB\-\-src\-pfx\fP [\fIprefix/\fP\fIlength]\fP
-変換を行う送信元プレフィックスとその長さを設定する。
-.TP
-\fB\-\-dst\-pfx\fP [\fIprefix/\fP\fIlength]\fP
-変換を行う宛先プレフィックスとその長さを設定する。
-.PP
-変換を取り消すには SNPT ターゲットを使わなければならない。 例:
-.IP
-ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0 \-j SNPT
-\-\-src\-pfx fd00::/64 \-\-dst\-pfx 2001:e20:2000:40f::/64
-.IP
-ip6tables \-t mangle \-I PREROUTING \-i wlan0 \-d 2001:e20:2000:40f::/64 \-j DNPT
-\-\-src\-pfx 2001:e20:2000:40f::/64 \-\-dst\-pfx fd00::/64
-.PP
-IPv6 neighbor proxy を有効にする必要があるかもしれない。
-.IP
-sysctl \-w net.ipv6.conf.all.proxy_ndp=1
-.PP
-また、変換されたフローに対するコネクション追跡を無効にするには \fBNOTRACK\fP ターゲットを使用する必要がある。
-.SS DSCP
-このターゲットは、 IPv4 パケットの TOS ヘッダーにある DSCP ビットの値の書き換えを可能にする。 これはパケットを操作するので、
-mangle テーブルでのみ使用できる。
-.TP
-\fB\-\-set\-dscp\fP \fIvalue\fP
-DSCP フィールドの数値を設定する (10 進または 16 進)。
-.TP
-\fB\-\-set\-dscp\-class\fP \fIclass\fP
-DSCP フィールドの DiffServ クラスを設定する。
-.SS "ECN (IPv4 の場合)"
-このターゲットは ECN ブラックホール問題への対処を可能にする。 mangle テーブルでのみ使用できる。
-.TP
-\fB\-\-ecn\-tcp\-remove\fP
-TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。 当然、 \fB\-p tcp\fP
-オプションとの組合わせでのみ使用できる。
-.SS "HL (IPv6 のみ)"
-このターゲットを使うと IPv6 ヘッダーの Hop Limit フィールドを変更することができる。 Hop Limit フィールドは IPv4 の
-TTL 値と同じようなものである。 Hop Limit フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。
-したがって、可能な限り避けるべきである。 このターゲットは \fBmangle\fP テーブルでのみ有効である。
-.PP
-\fB決してローカルネットワーク内に留まるパケットのフィールド値を設定したり増やしたりしないこと!\fP
-.TP
-\fB\-\-hl\-set\fP \fIvalue\fP
-Hop Limit を `value' に設定する。
-.TP
-\fB\-\-hl\-dec\fP \fIvalue\fP
-Hop Limit を `value' 回減算する。
-.TP
-\fB\-\-hl\-inc\fP \fIvalue\fP
-Hop Limit を `value' 回加算する。
-.SS HMARK
-Like MARK, i.e. set the fwmark, but the mark is calculated from hashing
-packet selector at choice. You have also to specify the mark range and,
-optionally, the offset to start from. ICMP error messages are inspected and
-used to calculate the hashing.
-.PP
-Existing options are:
-.TP
-\fB\-\-hmark\-tuple\fP tuple
-Possible tuple members are: \fBsrc\fP meaning source address (IPv4, IPv6
-address), \fBdst\fP meaning destination address (IPv4, IPv6 address), \fBsport\fP
-meaning source port (TCP, UDP, UDPlite, SCTP, DCCP), \fBdport\fP meaning
-destination port (TCP, UDP, UDPlite, SCTP, DCCP), \fBspi\fP meaning Security
-Parameter Index (AH, ESP), and \fBct\fP meaning the usage of the conntrack
-tuple instead of the packet selectors.
-.TP
-\fB\-\-hmark\-mod\fP \fIvalue (must be > 0)\fP
-Modulus for hash calculation (to limit the range of possible marks)
-.TP
-\fB\-\-hmark\-offset\fP \fIvalue\fP
-Offset to start marks from.
-.TP
-For advanced usage, instead of using \-\-hmark\-tuple, you can specify custom
-prefixes and masks:
-.TP
-\fB\-\-hmark\-src\-prefix\fP \fIcidr\fP
-The source address mask in CIDR notation.
-.TP
-\fB\-\-hmark\-dst\-prefix\fP \fIcidr\fP
-The destination address mask in CIDR notation.
-.TP
-\fB\-\-hmark\-sport\-mask\fP \fIvalue\fP
-A 16 bit source port mask in hexadecimal.
-.TP
-\fB\-\-hmark\-dport\-mask\fP \fIvalue\fP
-A 16 bit destination port mask in hexadecimal.
-.TP
-\fB\-\-hmark\-spi\-mask\fP \fIvalue\fP
-A 32 bit field with spi mask.
-.TP
-\fB\-\-hmark\-proto\-mask\fP \fIvalue\fP
-An 8 bit field with layer 4 protocol number.
-.TP
-\fB\-\-hmark\-rnd\fP \fIvalue\fP
-A 32 bit random custom value to feed hash calculation.
-.PP
-\fI例\fP:
-.PP
-iptables \-t mangle \-A PREROUTING \-m conntrack \-\-ctstate NEW
- \-j HMARK \-\-hmark\-tuple ct,src,dst,proto \-\-hmark\-offset 10000
-\-\-hmark\-mod 10 \-\-hmark\-rnd 0xfeedcafe
-.PP
-iptables \-t mangle \-A PREROUTING \-j HMARK \-\-hmark\-offset 10000 \-\-hmark\-tuple
-src,dst,proto \-\-hmark\-mod 10 \-\-hmark\-rnd 0xdeafbeef
-.SS IDLETIMER
-This target can be used to identify when interfaces have been idle for a
-certain period of time. Timers are identified by labels and are created
-when a rule is set with a new label. The rules also take a timeout value
-(in seconds) as an option. If more than one rule uses the same timer label,
-the timer will be restarted whenever any of the rules get a hit. One entry
-for each timer is created in sysfs. This attribute contains the timer
-remaining for the timer to expire. The attributes are located under the
-xt_idletimer class:
-.PP
-/sys/class/xt_idletimer/timers/<label>
-.PP
-When the timer expires, the target module sends a sysfs notification to the
-userspace, which can then decide what to do (eg. disconnect to save power).
-.TP
-\fB\-\-timeout\fP \fIamount\fP
-This is the time in seconds that will trigger the notification.
-.TP
-\fB\-\-label\fP \fIstring\fP
-This is a unique identifier for the timer. The maximum length for the label
-string is 27 characters.
-.SS LED
-This creates an LED\-trigger that can then be attached to system indicator
-lights, to blink or illuminate them when certain packets pass through the
-system. One example might be to light up an LED for a few minutes every time
-an SSH connection is made to the local machine. The following options
-control the trigger behavior:
-.TP
-\fB\-\-led\-trigger\-id\fP \fIname\fP
-This is the name given to the LED trigger. The actual name of the trigger
-will be prefixed with "netfilter\-".
-.TP
-\fB\-\-led\-delay\fP \fIms\fP
-This indicates how long (in milliseconds) the LED should be left illuminated
-when a packet arrives before being switched off again. The default is 0
-(blink as fast as possible.) The special value \fIinf\fP can be given to leave
-the LED on permanently once activated. (In this case the trigger will need
-to be manually detached and reattached to the LED device to switch it off
-again.)
-.TP
-\fB\-\-led\-always\-blink\fP
-Always make the LED blink on packet arrival, even if the LED is already on.
-This allows notification of new packets even with long delay values (which
-otherwise would result in a silent prolonging of the delay time.)
-.TP
-例:
-.TP
-Create an LED trigger for incoming SSH traffic:
-iptables \-A INPUT \-p tcp \-\-dport 22 \-j LED \-\-led\-trigger\-id ssh
-.TP
-Then attach the new trigger to an LED:
-echo netfilter\-ssh >/sys/class/leds/\fIledname\fP/trigger
-.SS LOG
-マッチしたパケットをカーネルログに記録する。 このオプションがルールに対して設定されると、 Linux
-カーネルはマッチしたパケットについての何らかの情報 (多くの IP/IPv6 ヘッダーフィールドなど) を カーネルログに表示する (カーネルログは
-\fIdmesg\fP(1) や syslog で参照できる)。
-.PP
-これは "非終了ターゲット" である。 すなわち、 ルールの探索は次のルールへと継続される。 よって、 拒否するパケットをログ記録したければ、
-同じマッチング判断基準を持つ 2 つのルールを使用し、 最初のルールで LOG ターゲットを、 次のルールで DROP (または REJECT)
-ターゲットを指定する。
-.TP
-\fB\-\-log\-level\fP \fIlevel\fP
-ロギングレベル。 (システム固有の) 数値かシンボル名を指定する。 指定できる値は (優先度が高い順に) \fBemerg\fP, \fBalert\fP,
-\fBcrit\fP, \fBerror\fP, \fBwarning\fP, \fBnotice\fP, \fBinfo\fP, \fBdebug\fP である。
-.TP
-\fB\-\-log\-prefix\fP \fIprefix\fP
-指定したプレフィックスをログメッセージの前に付ける。
-プレフィックスは 29 文字までの長さで、
-ログの中でメッセージを区別するのに役立つ。
-.TP
-\fB\-\-log\-tcp\-sequence\fP
-TCP シーケンス番号をログに記録する。 ログがユーザーから読める場合、 セキュリティ上の危険がある。
-.TP
-\fB\-\-log\-tcp\-options\fP
-TCP パケットヘッダーのオプションをログに記録する。
-.TP
-\fB\-\-log\-ip\-options\fP
-IP/IPv6 パケットヘッダーのオプションをログに記録する。
-.TP
-\fB\-\-log\-uid\fP
-パケットを生成したプロセスのユーザー ID をログに記録する。
-.SS MARK
-このターゲットを使うと、 そのパケットに関連付けられる Netfilter マーク値を設定する。 例えば、 fwmark に基づくルーティング
-(iproute2 が必要) と組み合わせて使うことができる。 そうする場合には、 ルーティング時に考慮されるようにするには、 mangle テーブルの
-PREROUTING チェインでマークを設定する必要がある。 マークフィールドは 32 ビット幅である。
-.TP
-\fB\-\-set\-xmark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と packet mark ("nfmark") の XOR を取る。
-\fImask\fP が省略された場合は 0xFFFFFFFF とみなされる。
-.TP
-\fB\-\-set\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と packet mark の OR を取る。 \fImask\fP が省略された場合は
-0xFFFFFFFF とみなされる。
-.PP
-以下の簡易表現が利用できる。
-.TP
-\fB\-\-and\-mark\fP \fIbits\fP
-nfmark と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-xmark 0/\fP\fIinvbits\fP の簡易表現、
-\fIinvbits\fP は \fIbits\fP のビット単位の否定である)。
-.TP
-\fB\-\-or\-mark\fP \fIbits\fP
-nfmark と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/\fP\fIbits\fP の簡易表現)。
-.TP
-\fB\-\-xor\-mark\fP \fIbits\fP
-nfmark と \fIbits\fP のビット XOR を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/0\fP の簡易表現)。
-.SS MASQUERADE
-このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP チェインのみで有効である。 動的割り当て IP (ダイヤルアップ)
-コネクションの場合にのみ使うべきである。 固定 IP アドレスならば、 SNAT ターゲットを使うべきである。 マスカレーディングは、
-パケットが送信されるインターフェースの IP アドレスへのマッピングを指定するのと同じであるが、
-インターフェースが停止した場合にコネクションを\fI忘れる\fPという効果がある。 次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い
-(そのため、 前回確立されたコネクションは失われる) 場合、 この動作は正しい。
-.TP
-\fB\-\-to\-ports\fP \fIport\fP[\fB\-\fP\fIport\fP]
-このオプションは、 使用する送信元ポートの範囲を指定し、 デフォルトの \fBSNAT\fP 送信元ポートの選択方法 (上記) よりも優先される。
-ルールがプロトコルとして \fBtcp\fP, \fBudp\fP, \fBdccp\fP, \fBsctp\fP を指定している場合にのみ有効である。
-.TP
-\fB\-\-random\fP
-送信元ポートのマッピングをランダム化する。 \fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル
-2.6.21 以降)。
-.TP
-IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
-.SS "MIRROR (IPv4 の場合)"
-実験的なデモンストレーション用のターゲットであり、 IP ヘッダーの送信元と宛先フィールドを入れ換え、 パケットを再送信するものである。 これは
-\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインと、 これらのチェインから呼び出される
-ユーザー定義チェインだけで有効である。 ループ等の問題を回避するため、 外部に送られるパケットは
-いかなるパケットフィルタリングチェイン・コネクション追跡・NAT からも 監視\fBされない\fP。
-.SS NETMAP
-このターゲットを使うと、あるアドレスネットワーク全体を別のネットワークアドレスに静的にマッピングできる。 このターゲットは \fBnat\fP
-テーブルでルールでのみ使用できる。
-.TP
-\fB\-\-to\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-マッピング先のネットワークアドレス。 変換後のアドレスは以下のようにして構築される。 mask で '1' になっているビットは新しいアドレスが使われ、
-mask で '0' になっているビットは元のアドレスが使われる。
-.TP
-IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
-.SS NFLOG
-このターゲットは、 マッチしたパケットをログに記録する機能を提供する。 このターゲットがルールに設定されると、 Linux
-カーネルはそのログに記録するためにそのパケットをロードされたロギングバックエンドに渡す。 このターゲットは通常は nfnetlink_log
-をロギングバックエンドとして使う組み合わせで使用される。 nfnetlink_log はそのパケットを \fInetlink\fP
-ソケット経由で指定されたマルチキャストグループにマルチキャストする。 1
-つ以上のユーザー空間プロセスがマルチキャストグループを購読しパケットを受信することができる。 LOG と同様に、
-このターゲットは非終了ターゲットであり、 ルールの探索は次のルールへと継続される。
-.TP
-\fB\-\-nflog\-group\fP \fInlgroup\fP
-パケットを送信する netlink グループ (0 \- 2^16\-1) を指定する (nfnetlink_log の場合のみ利用できる)。
-デフォルトの値は 0 である。
-.TP
-\fB\-\-nflog\-prefix\fP \fIprefix\fP
-ログメッセージの前に付けるプレフィックス文字列。 最大 64 文字までの指定できる。 ログの中でメッセージを区別するのに役に立つ。
-.TP
-\fB\-\-nflog\-range\fP \fIsize\fP
-ユーザー空間にコピーするバイト数 (nfnetlink_log の場合のみ利用できる)。 nfnetlink_log
-のインスタンスは自身でコピーする範囲を指定できるが、 このオプションはそれを上書きする。
-.TP
-\fB\-\-nflog\-threshold\fP \fIsize\fP
-ユーザー空間にパケットを送信する前に、カーネル内部のキューに入れるパケット数 (nfnetlink_log の場合のみ利用できる)。
-大きめの値を指定するほどパケット単位のオーバヘッドは少なくなるが、 パケットがユーザー空間に届くまでの遅延が大きくなる。 デフォルト値は 1 である。
-.SS NFQUEUE
-このターゲットは、 \fBnfnetlink_queue\fP ハンドラーを使ってそのパケットをユーザー空間に渡す。 パケットは 16
-ビットのキュー番号で指定されたキューに入れられる。 ユーザー空間では好きなようにパケットを検査し変更できる。
-ユーザー空間側では、必ずそのパケットを破棄するかカーネルに戻すかのどちらかをしなければならない。 詳細は libnetfilter_queue
-を参照のこと。
-\fBnfnetlink_queue\fP は Linux 2.6.14 で追加された。 \fBqueue\-balance\fP オプションは Linux
-2.6.31 で、 \fBqueue\-bypass\fP は Linux 2.6.39 で追加された。
-.TP
-\fB\-\-queue\-num\fP \fIvalue\fP
-使用する QUEUE 番号を指定する。 有効なキュー番号は 0 から 65535 である。 デフォルトは 0 である。
-.PP
-.TP
-\fB\-\-queue\-balance\fP \fIvalue\fP\fB:\fP\fIvalue\fP
-使用するキューの範囲を指定する。 パケットは指定された範囲のキューに分散される。 これはマルチコアシステムで有用である。
-ユーザー空間プログラムの複数インスタンスをキュー x, x+1, .. x+n で開始し、 "\-\-queue\-balance
-\fIx\fP\fB:\fP\fIx+n\fP" を使用する。 同じコネクションに所属するパケットは同じ nfqueue に入れられる。
-.PP
-.TP
-\fB\-\-queue\-bypass\fP
-デフォルトでは、 どのユーザー空間プログラムも NFQUEUE をリッスンしていない場合、 キューされるはずのすべてのパケットが破棄される。
-このオプションを使うと、 NFQUEUE ルールは ACCEPT のような動作となり、 パケットは次のテーブルに進む。
-.PP
-.TP
-\fB\-\-queue\-cpu\-fanout\fP
-Linux カーネル 3.10 以降で利用可能。 \fB\-\-queue\-balance\fP
-とともに使用されると、このオプションはパケットをキューにマッピングする際のインデックスとして CPU ID を使用する。 これは、 CPU
-ごとにキューがある場合に性能を向上させようというものである。 このオプションを使うには \fB\-\-queue\-balance\fP を指定する必要がある。
-.SS NOTRACK
-このターゲットを使うと、そのルールにマッチした全てのパケットでコネクション追跡が無効になる。 これは \-j CT \-\-notrack と等価である。
-CT と同様、 NOTRACK は \fBraw\fP テーブルでのみ使用できる。
-.SS RATEEST
-The RATEEST target collects statistics, performs rate estimation calculation
-and saves the results for later evaluation using the \fBrateest\fP match.
-.TP
-\fB\-\-rateest\-name\fP \fIname\fP
-Count matched packets into the pool referred to by \fIname\fP, which is freely
-choosable.
-.TP
-\fB\-\-rateest\-interval\fP \fIamount\fP{\fBs\fP|\fBms\fP|\fBus\fP}
-Rate measurement interval, in seconds, milliseconds or microseconds.
-.TP
-\fB\-\-rateest\-ewmalog\fP \fIvalue\fP
-Rate measurement averaging time constant.
-.SS REDIRECT
-このターゲットは、 \fBnat\fP テーブルの \fBPREROUTING\fP チェインと \fBOUTPUT\fP チェイン、
-およびこれらチェインから呼び出されるユーザー定義チェインでのみ有効である。 このターゲットは、 宛先 IP
-をパケットを受信したインタフェースの最初のアドレスに変更することで、 パケットをそのマシン自身にリダイレクトする
-(ローカルで生成されたパケットはローカルホストのアドレス、 IPv4 では 127.0.0.1、 IPv6 では ::1 にマップされる)。
-.TP
-\fB\-\-to\-ports\fP \fIport\fP[\fB\-\fP\fIport\fP]
-このオプションは使用される宛先ポート・ポート範囲・複数ポートを指定する。 このオプションが指定されない場合、 宛先ポートは変更されない。
-ルールがプロトコルとして \fBtcp\fP, \fBudp\fP, \fBdccp\fP, \fBsctp\fP を指定している場合にのみ有効である。
-.TP
-\fB\-\-random\fP
-\fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.22 以降)。
-.TP
-IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
-.SS "REJECT (IPv6 のみ)"
-マッチしたパケットの応答としてエラーパケットを送信するために使われる。
-エラーパケットを送らなければ、 \fBDROP\fP と同じであり、 TARGET を終了し、
-ルールの探索を終了する。 このターゲットは、 \fBINPUT\fP, \fBFORWARD\fP,
-\fBOUTPUT\fP チェインと、 これらのチェインから呼ばれる ユーザー定義チェイン
-だけで有効である。 以下のオプションは、 返されるエラーパケットの特性を
-制御する。
-.TP
-\fB\-\-reject\-with\fP \fItype\fP
-指定できるタイプは \fBicmp6\-no\-route\fP, \fBno\-route\fP, \fBicmp6\-adm\-prohibited\fP,
-\fBadm\-prohibited\fP, \fBicmp6\-addr\-unreachable\fP, \fBaddr\-unreach\fP,
-\fBicmp6\-port\-unreachable\fP である。 指定したタイプの適切な IPv6 エラーメッセージが返される
-(\fBicmp6\-port\-unreachable\fP がデフォルトである)。 さらに、 TCP プロトコルにのみマッチするルールに対して、 オプション
-\fBtcp\-reset\fP を使うことができる。 このオプションを使うと、 TCP RST パケットが送り返される。 主として \fIident\fP
-(113/tcp) による探査を阻止するのに役立つ。 \fIident\fP による探査は、 壊れている (メールを受け取らない) メールホストに
-メールが送られる場合に頻繁に起こる。 \fBtcp\-reset\fP はバージョン 2.6.14 以降のカーネルでのみ使用できる。
-.SS "REJECT (IPv4 の場合)"
-マッチしたパケットの応答としてエラーパケットを送信するために使われる。
-エラーパケットを送らなければ、 \fBDROP\fP と同じであり、 TARGET を終了し、
-ルールの探索を終了する。 このターゲットは、 \fBINPUT\fP, \fBFORWARD\fP,
-\fBOUTPUT\fP チェインと、 これらのチェインから呼ばれる ユーザー定義チェイン
-だけで有効である。 以下のオプションは、 返されるエラーパケットの特性を
-制御する。
-.TP
-\fB\-\-reject\-with\fP \fItype\fP
-指定できるタイプは \fBicmp\-net\-unreachable\fP, \fBicmp\-host\-unreachable\fP,
-\fBicmp\-port\-unreachable\fP, \fBicmp\-proto\-unreachable\fP, \fBicmp\-net\-prohibited\fP,
-\fBicmp\-host\-prohibited\fP, \fBicmp\-admin\-prohibited\fP (*) である。指定したタイプの適切な ICMP
-エラーメッセージを返す (\fBicmp\-port\-unreachable\fP がデフォルトである)。 TCP プロトコルにのみマッチするルールに対して、
-オプション \fBtcp\-reset\fP を使うことができる。 このオプションを使うと、 TCP RST パケットが送り返される。 主として
-\fIident\fP (113/tcp) による探査を阻止するのに役立つ。 \fIident\fP による探査は、 壊れている (メールを受け取らない)
-メールホストに メールが送られる場合に頻繁に起こる。
-.PP
-(*) icmp\-admin\-prohibited をサポートしないカーネルで、 icmp\-admin\-prohibited を使用すると、
-REJECT ではなく単なる DROP になる。
-.SS "SAME (IPv4 の場合)"
-Similar to SNAT/DNAT depending on chain: it takes a range of addresses
-(`\-\-to 1.2.3.4\-1.2.3.7') and gives a client the same
-source\-/destination\-address for each connection.
-.PP
-N.B.: The DNAT target's \fB\-\-persistent\fP option replaced the SAME target.
-.TP
-\fB\-\-to\fP \fIipaddr\fP[\fB\-\fP\fIipaddr\fP]
-Addresses to map source to. May be specified more than once for multiple
-ranges.
-.TP
-\fB\-\-nodst\fP
-Don't use the destination\-ip in the calculations when selecting the new
-source\-ip
-.TP
-\fB\-\-random\fP
-Port mapping will be forcibly randomized to avoid attacks based on port
-prediction (kernel >= 2.6.21).
-.SS SECMARK
-This is used to set the security mark value associated with the packet for
-use by security subsystems such as SELinux. It is valid in the \fBsecurity\fP
-table (for backwards compatibility with older kernels, it is also valid in
-the \fBmangle\fP table). The mark is 32 bits wide.
-.TP
-\fB\-\-selctx\fP \fIsecurity_context\fP
-.SS SET
-このモジュールは \fBipsec\fP(8) で定義できる IP 集合のエントリの追加、削除、その両方を行う。
-.TP
-\fB\-\-add\-set\fP \fIsetname\fP \fIflag\fP[\fB,\fP\fIflag\fP...]
-集合に指定されたアドレス/ポート (複数可) を追加する
-.TP
-\fB\-\-del\-set\fP \fIsetname\fP \fIflag\fP[\fB,\fP\fIflag\fP...]
-集合から指定されたアドレス/ポート (複数可) を削除する
-.IP
-\fIflag\fP は \fBsrc\fP や \fBdst\fP の指定であり、 指定できるのは 6 個までである。
-.TP
-\fB\-\-timeout\fP \fIvalue\fP
-エントリを追加する際に、 集合定義のデフォルト値ではなく指定したタイムアウト値を使用する
-.TP
-\fB\-\-exist\fP
-エントリを追加する際に、 エントリが存在する場合、 タイムアウト値を、 指定された値か集合定義のデフォルト値にリセットする
-.PP
-\-j SET を使用するには ipset のカーネルサポートが必要である。 標準のカーネルでは、 Linux 2.6.39 以降で提供されている。
-.SS SNAT
-このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP, \fBINPUT\fP チェイン、 これらのチェインから呼び出される
-ユーザー定義チェインのみで有効である。 このターゲットはパケットの送信元アドレスを修正する (このコネクションの以降のパケットも修正して分からなく
-(mangle) する)。 さらに、 ルールによるチェックを止めさせる。 このターゲットには以下のオプションがある:
-.TP
-\fB\-\-to\-source\fP [\fIipaddr\fP[\fB\-\fP\fIipaddr\fP]][\fB:\fP\fIport\fP[\fB\-\fP\fIport\fP]]
-1 つの新しい送信元 IP アドレス、 または IP アドレスの範囲が指定できる。 ルールでプロトコルとして \fBtcp\fP, \fBudp\fP,
-\fBdccp\fP, \fBsctp\fP が指定されている場合、 ポートの範囲を指定することもできる。 ポートの範囲が指定されていない場合、 512
-未満の送信元ポートは、 他の 512 未満のポートにマッピングされる。 512 〜 1023 までのポートは、 1024
-未満のポートにマッピングされる。 それ以外のポートは、 1024 以上のポートにマッピングされる。 可能であれば、 ポートの変換は起こらない。
-2.6.10 以前のカーネルでは、 複数の \-\-to\-source オプションを指定することができる。 これらのカーネルでは、 アドレスの範囲指定や
-\-\-to\-source オプションの複数回指定により 2 つ以上の送信元アドレスを指定した場合、
-それらのアドレスを使った単純なラウンド・ロビンが行われる。 それ以降のカーネル (>= 2.6.11\-rc1) には複数の範囲を NAT
-する機能は存在しない。
-.TP
-\fB\-\-random\fP
-\fB\-\-random\fP オプションが使用されると、ポートマッピングはランダム化される (カーネル 2.6.21 以降)。
-.TP
-\fB\-\-persistent\fP
-クライアントの各コネクションに同じ送信元アドレス/宛先アドレスを割り当てる。 これは SAME ターゲットよりも優先される。 persistent
-マッピングのサポートは 2.6.29\-rc2 以降で利用可能である。
-.PP
-2.6.36\-rc1 より前のカーネルでは \fBINPUT\fP チェインで \fBSNAT\fP を使用できない。
-.TP
-IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
-.SS "SNPT (IPv6 のみ)"
-(RFC 6296 で説明されている) ステートレス IPv6\-to\-IPv6 送信元ネットワークプレフィックス変換を提供する。
-.PP
-このターゲットは \fBnat\fP テーブルではなく \fBmangle\fP テーブルで使わなければならない。 以下のオプションを取る。
-.TP
-\fB\-\-src\-pfx\fP [\fIprefix/\fP\fIlength]\fP
-変換を行う送信元プレフィックスとその長さを設定する。
-.TP
-\fB\-\-dst\-pfx\fP [\fIprefix/\fP\fIlength]\fP
-変換を行う宛先プレフィックスとその長さを設定する。
-.PP
-変換を取り消すには DNPT ターゲットを使わなければならない。 例:
-.IP
-ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0 \-j SNPT
-\-\-src\-pfx fd00::/64 \-\-dst\-pfx 2001:e20:2000:40f::/64
-.IP
-ip6tables \-t mangle \-I PREROUTING \-i wlan0 \-d 2001:e20:2000:40f::/64 \-j DNPT
-\-\-src\-pfx 2001:e20:2000:40f::/64 \-\-dst\-pfx fd00::/64
-.PP
-IPv6 neighbor proxy を有効にする必要があるかもしれない。
-.IP
-sysctl \-w net.ipv6.conf.all.proxy_ndp=1
-.PP
-また、変換されたフローに対するコネクション追跡を無効にするには \fBNOTRACK\fP ターゲットを使用する必要がある。
-.SS TCPMSS
-このターゲットを用いると、 TCP の SYN パケットの MSS 値を書き換え、 そのコネクションでの最大サイズを制御できる (通常は、
-送信インターフェースの MTU から IPv4 では 40 を、 IPv6 では 60 を引いた値に制限する)。 もちろん \fB\-p tcp\fP
-との組み合わせでしか使えない。
-.PP
-このターゲットは、 "ICMP Fragmentation Needed" や "ICMPv6 Packet Too Big"
-パケットをブロックしている犯罪的に頭のいかれた ISP やサーバーを乗り越えるために使用される。 Linux
-ファイアウォール/ルーターでは何も問題がないのに、 そこにぶら下がるマシンでは以下のように大きなパケットをやりとりできないというのが、
-この問題の兆候である。
-.IP 1. 4
-ウェブ・ブラウザで接続しようとすると、 何のデータも受け取らずにハングする
-.IP 2. 4
-短いメールは問題ないが、 長いメールがハングする
-.IP 3. 4
-ssh は問題ないが、 scp は最初のハンドシェーク後にハングする
-.PP
-回避方法: このオプションを有効にし、 以下のようなルールを ファイアウォールの設定に追加する。
-.IP
- iptables \-t mangle \-A FORWARD \-p tcp \-\-tcp\-flags SYN,RST SYN
- \-j TCPMSS \-\-clamp\-mss\-to\-pmtu
-.TP
-\fB\-\-set\-mss\fP \fIvalue\fP
-Explicitly sets MSS option to specified value. If the MSS of the packet is
-already lower than \fIvalue\fP, it will \fBnot\fP be increased (from Linux 2.6.25
-onwards) to avoid more problems with hosts relying on a proper MSS.
-.TP
-\fB\-\-clamp\-mss\-to\-pmtu\fP
-Automatically clamp MSS value to (path_MTU \- 40 for IPv4; \-60 for IPv6).
-This may not function as desired where asymmetric routes with differing path
-MTU exist \(em the kernel uses the path MTU which it would use to send
-packets from itself to the source and destination IP addresses. Prior to
-Linux 2.6.25, only the path MTU to the destination IP address was considered
-by this option; subsequent kernels also consider the path MTU to the source
-IP address.
-.PP
-これらのオプションはどちらか 1 つしか指定できない。
-.SS TCPOPTSTRIP
-このターゲットは TCP パケットから TCP オプションを削除する (実際には TCPオプションを NO\-OP で置き換える)。
-このターゲットを使うには \fB\-p tcp\fP パラメーターを使う必要があるだろう。
-.TP
-\fB\-\-strip\-options\fP \fIoption\fP[\fB,\fP\fIoption\fP...]
-指定されたオプション (複数可) を削除する。 オプションは TCP オプション番号かシンボル名で指定する。 iptables を \fB\-j
-TCPOPTSTRIP \-h\fP で呼び出すと、指定できるオプションのシンボル名を取得できる。
-.SS TEE
-\fBTEE\fP ターゲットは、 パケットのクローンを作成し、
-クローンしたパケットを\fBローカル\fPネットワークセグメントにある別のマシンにリダイレクトする。
-言い換えると、ネクストホップがターゲットでなければならないということだ。
-つまり、必要に応じてネクストホップがさらにパケットを転送するように設定する必要があるということだ。
-.TP
-\fB\-\-gateway\fP \fIipaddr\fP
-クローンしたパケットを指定した IP アドレスで届くホストに送信する。 (IPv4 の場合) 0.0.0.0、 (IPv6 の場合) ::
-は無効である。
-.PP
-eth0 に届いたすべての入力トラフィックをネットワーク層のロギングボックスに転送する。
-.PP
-\-t mangle \-A PREROUTING \-i eth0 \-j TEE \-\-gateway 2001:db8::1
-.SS TOS
-このモジュールは IPv4 ヘッダーの Type of Service フィールド (上位ビットも含む) や IPv6 ヘッダーの Priority
-フィールドを設定する。 TOS は DSCP と ECN と同じビットを共有する点に注意すること。 TOS ターゲットは \fBmangle\fP
-テーブルでのみ有効である。
-.TP
-\fB\-\-set\-tos\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-\fImask\fP で指定されたビットを 0 にし (下の「注意」を参照)、 \fIvalue\fP と TOS/Priority フィールド の XOR
-を取る。 \fImask\fP が省略された場合は 0xFF とみなされる。
-.TP
-\fB\-\-set\-tos\fP \fIsymbol\fP
-IPv4 の TOS ターゲットを使用する際にはシンボル名を指定することができる。 暗黙のうち 0xFF が mask として使用される
-(下の「注意」を参照)。 使用できる TOS 名のリストは iptables を \fB\-j TOS \-h\fP で呼び出すと取得できる。
-.PP
-以下の簡易表現が利用できる。
-.TP
-\fB\-\-and\-tos\fP \fIbits\fP
-TOS 値と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-tos 0/\fP\fIinvbits\fP の簡易表現、
-\fIinvbits\fP は \fIbits\fP のビット単位の否定である。 下の「注意」を参照)
-.TP
-\fB\-\-or\-tos\fP \fIbits\fP
-TOS 値と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-tos\fP \fIbits\fP\fB/\fP\fIbits\fP
-の簡易表現。下の「注意」を参照)
-.TP
-\fB\-\-xor\-tos\fP \fIbits\fP
-TOS 値と \fIbits\fP の XOR を取る (\fB\-\-set\-tos\fP \fIbits\fP\fB/0\fP の簡易表現。下の「注意」を参照)
-.PP
-注意: 2.6.38 以前の Linux カーネル (ただし、長期間サポートのリリース 2.6.32 (>=.42), 2.6.33
-(>=.15), 2.6.35 (>=.14) 以外) では、 IPv6 TOS mangling
-がドキュメントに書かれている通りに動作せず、IPv4 バージョンの場合と異なる動作をするというバグがある。 TOS mask はビットが 1
-の場合に対応するビットが 0 にすることを指示するので、 元の TOS フィールドに mask を適用する前に反転する必要がある。 しかしながら、
-上記のカーネルではこの反転が抜けており \-\-set\-tos と関連する簡易表現が正しく動作しない。
-.SS TPROXY
-このターゲットは、 \fBmangle\fP テーブルで、 \fBPREROUTING\fP チェインと、 \fBPREROUTING\fP チェインから呼び出される
-ユーザー定義チェインでのみ有効である。 このターゲットは、 そのパケットをパケットヘッダーを変更せずにそのままローカルソケットにリダイレクトする。
-また、 mark 値を変更することもでき、 この mark 値は後で高度なルーティングルールで使用することができる。 このターゲットにはオプションが 3
-つある:
-.TP
-\fB\-\-on\-port\fP \fIport\fP
-このオプションは使用する宛先ポートを指定する。 このオプションは必須で、 0 は宛先ポートが元々の宛先ポートと同じであることを意味する。 ルールが
-\fB\-p tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効である。
-.TP
-\fB\-\-on\-ip\fP \fIaddress\fP
-このオプションは使用する宛先アドレスを指定する。 デフォルトでは、 パケットが到着したインタフェースの IP アドレスが使用される。 ルールが \fB\-p
-tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効である。
-.TP
-\fB\-\-tproxy\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Marks packets with the given value/mask. The fwmark value set here can be
-used by advanced routing. (Required for transparent proxying to work:
-otherwise these packets will get forwarded, which is probably not what you
-want.)
-.SS TRACE
-This target marks packets so that the kernel will log every rule which match
-the packets as those traverse the tables, chains, rules.
-.PP
-A logging backend, such as ip(6)t_LOG or nfnetlink_log, must be loaded for
-this to be visible. The packets are logged with the string prefix: "TRACE:
-tablename:chainname:type:rulenum " where type can be "rule" for plain rule,
-"return" for implicit rule at the end of a user defined chain and "policy"
-for the policy of the built in chains.
-.br
-It can only be used in the \fBraw\fP table.
-.SS "TTL (IPv4 の場合)"
-このターゲットを使うと、 IPv4 の TTL ヘッダーフィールドを変更できる。 TTL フィールドにより、 TTL
-がなくなるまでに、パケットが何ホップ (何個のルータ) を通過できるかが決定される。
-.PP
-TTL フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。 したがって、可能な限り避けるべきである。 このターゲットは \fBmangle\fP
-テーブルでのみ有効である。
-.PP
-\fB決してローカルネットワーク内に留まるパケットのフィールド値を設定したり増やしたりしないこと!\fP
-.TP
-\fB\-\-ttl\-set\fP \fIvalue\fP
-TTL 値を `value' に設定する。
-.TP
-\fB\-\-ttl\-dec\fP \fIvalue\fP
-TTL 値を `value' 回減算する。
-.TP
-\fB\-\-ttl\-inc\fP \fIvalue\fP
-TTL 値を `value' 回加算する。
-.SS "ULOG (IPv4 の場合)"
-このターゲットは NFLOG ターゲットの前身で IPv4 専用である。現在は非推奨となっている。 マッチしたパケットを
-ユーザー空間でログ記録する機能を提供する。 このターゲットがルールに設定されると、 Linux カーネルは、 そのパケットを \fInetlink\fP
-ソケットを用いてマルチキャストする。 そして、 1 つ以上のユーザー空間プロセスが いろいろなマルチキャストグループに登録をおこない、
-パケットを受信する。 LOG と同様、 これは "非終了ターゲット" であり、 ルールの探索は次のルールへと継続される。
-.TP
-\fB\-\-ulog\-nlgroup\fP \fInlgroup\fP
-パケットを送信する netlink グループ (1\-32) を指定する。 デフォルトの値は 1 である。
-.TP
-\fB\-\-ulog\-prefix\fP \fIprefix\fP
-指定したプレフィックスをログメッセージの前に付ける。 32 文字までの指定できる。 ログの中でメッセージを区別するのに便利である。
-.TP
-\fB\-\-ulog\-cprange\fP \fIsize\fP
-ユーザー空間にコピーするパケットのバイト数。 値が 0 の場合、 サイズに関係なく全パケットをコピーする。 デフォルトは 0 である。
-.TP
-\fB\-\-ulog\-qthreshold\fP \fIsize\fP
-カーネル内部のキューに入れられるパケットの数。 例えば、 この値を 10 にした場合、 カーネル内部で 10 個のパケットをまとめ、 1 つの
-netlink マルチパートメッセージとしてユーザー空間に送る。 (過去のものとの互換性のため) デフォルトは 1 である。
-.br
+++ /dev/null
-.\"*******************************************************************
-.\"
-.\" This file was generated with po4a. Translate the source file.
-.\"
-.\"*******************************************************************
-.\"
-.\" Japanese Version Copyright (c) 2001 Yuichi SATO
-.\" all rights reserved.
-.\" Translated 2001-05-15, Yuichi SATO <ysato@h4.dion.ne.jp>
-.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
-.TH IPTABLES\-RESTORE 8 "" "iptables 1.4.21" "iptables 1.4.21"
-.\"
-.\" Man page written by Harald Welte <laforge@gnumonks.org>
-.\" It is based on the iptables man page.
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH 名前
-iptables\-restore \(em IP テーブルを復元する
-.P
-ip6tables\-restore \(em IPv6 テーブルを復元する
-.SH 書式
-\fBiptables\-restore\fP [\fB\-chntv\fP] [\fB\-M\fP \fImodprobe\fP]
-.P
-\fBip6tables\-restore\fP [\fB\-chntv\fP] [\fB\-M\fP \fImodprobe\fP] [\fB\-T\fP \fIname\fP]
-.SH 説明
-.PP
-\fBiptables\-restore\fP と \fBip6tables\-restore\fP は標準入力で指定されたデータから IP/IPv6
-テーブルを復元するために使われる。 ファイルから読み込むためには、 シェルで提供されている I/O リダイレクションを使うこと。
-.TP
-\fB\-c\fP, \fB\-\-counters\fP
-全てのパケットカウンタとバイトカウンタの値を復元する。
-.TP
-\fB\-h\fP, \fB\-\-help\fP
-簡潔なオプション一覧を表示する。
-.TP
-\fB\-n\fP, \fB\-\-noflush\fP
-これまでのテーブルの内容をフラッシュしない。 指定されない場合、 どちらのコマンドもこれまでの各テーブルの内容を全てフラッシュ (削除) する。
-.TP
-\fB\-t\fP, \fB\-\-test\fP
-ルールセットの解釈と構築のみを行い、適用は行わない。
-.TP
-\fB\-v\fP, \fB\-\-verbose\fP
-ルールセットの処理中に追加のデバッグ情報を表示する。
-.TP
-\fB\-M\fP, \fB\-\-modprobe\fP \fImodprobe_program\fP
-modprobe プログラムのパスを指定する。デフォルトでは、 iptables\-restore は /proc/sys/kernel/modprobe
-の内容を確認して実行ファイルのパスを決定する。
-.TP
-\fB\-T\fP, \fB\-\-table\fP \fIname\fP
-入力ストリームに他のテーブルの情報が含まれている場合でも、指定されたテーブルについてのみ復元を行う。
-.SH バグ
-iptables\-1.2.1 リリースでは知られていない。
-.SH 作者
-Harald Welte <laforge@gnumonks.org> は Rusty Russell のコードを元に
-iptables\-restore を書いた。
-.br
-Andras Kis\-Szabo <kisza@sch.bme.hu> は ip6tables\-restore に貢献した。
-.SH 関連項目
-\fBiptables\-save\fP(8), \fBiptables\fP(8)
-.PP
-より多くの iptables の使用法について 詳細に説明している iptables\-HOWTO。 NAT について詳細に説明している
-NAT\-HOWTO。 内部構造について詳細に説明している netfilter\-hacking\-HOWTO。
+++ /dev/null
-.\"*******************************************************************
-.\"
-.\" This file was generated with po4a. Translate the source file.
-.\"
-.\"*******************************************************************
-.\"
-.\" Japanese Version Copyright (c) 2001 Yuichi SATO
-.\" all rights reserved.
-.\" Translated 2001-05-15, Yuichi SATO <ysato@h4.dion.ne.jp>
-.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
-.TH IPTABLES\-SAVE 8 "" "iptables 1.4.21" "iptables 1.4.21"
-.\"
-.\" Man page written by Harald Welte <laforge@gnumonks.org>
-.\" It is based on the iptables man page.
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH 名前
-iptables\-save \(em iptables ルールを標準出力にダンプする
-.P
-ip6tables\-save \(em iptables ルールを標準出力にダンプする
-.SH 書式
-\fBiptables\-save\fP [\fB\-M\fP \fImodprobe\fP] [\fB\-c\fP] [\fB\-t\fP \fItable\fP]
-.P
-\fBip6tables\-save\fP [\fB\-M\fP \fImodprobe\fP] [\fB\-c\fP] [\fB\-t\fP \fItable\fP]
-.SH 説明
-.PP
-\fBiptables\-save\fP と \fBip6tables\-save\fP は IP/IPv6 テーブルの内容を簡単に解析できる形式で
-標準出力にダンプするために使われる。 ファイルに書き出すためには、 シェルで提供されている I/O リダイレクションを使うこと。
-.TP
-\fB\-M\fP \fImodprobe_program\fP
-modprobe プログラムのパスを指定する。デフォルトでは、 iptables\-save は /proc/sys/kernel/modprobe
-の内容を確認して実行ファイルのパスを決定する。
-.TP
-\fB\-c\fP, \fB\-\-counters\fP
-全てのパケットカウンタとバイトカウンタの現在の値を出力する。
-.TP
-\fB\-t\fP, \fB\-\-table\fP \fItablename\fP
-出力を 1 つのテーブルのみに制限する。 指定されない場合、得られた全てのテーブルを出力する。
-.SH バグ
-iptables\-1.2.1 リリースでは知られていない。
-.SH 作者
-Harald Welte <laforge@gnumonks.org>
-.br
-Rusty Russell <rusty@rustcorp.com.au>
-.br
-Andras Kis\-Szabo <kisza@sch.bme.hu> は ip6tables\-save に貢献した。
-.SH 関連項目
-\fBiptables\-restore\fP(8), \fBiptables\fP(8)
-.PP
-より多くの iptables の使用法について 詳細に説明している iptables\-HOWTO。 NAT について詳細に説明している
-NAT\-HOWTO。 内部構造について詳細に説明している netfilter\-hacking\-HOWTO。
+++ /dev/null
-.\"*******************************************************************
-.\"
-.\" This file was generated with po4a. Translate the source file.
-.\"
-.\"*******************************************************************
-.\"
-.\" Japanese Version Copyright (c) 2001, 2004 Yuichi SATO
-.\" all right reserved.
-.\" Translated 2001-07-29, Yuichi SATO <ysato@h4.dion.ne.jp>
-.\" Updated & Modified 2001-09-12, Yuichi SATO
-.\" Updated 2003-05-28, System Design and Research Institute Co., Ltd.
-.\" Updated & Modified 2004-02-21, Yuichi SATO <ysato444@yahoo.co.jp>
-.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
-.\"
-.TH IPTABLES 8 "" "iptables 1.4.21" "iptables 1.4.21"
-.\"
-.\" Man page written by Herve Eychenne <rv@wallfire.org> (May 1999)
-.\" It is based on ipchains page.
-.\" TODO: add a word for protocol helpers (FTP, IRC, SNMP-ALG)
-.\"
-.\" ipchains page by Paul ``Rusty'' Russell March 1997
-.\" Based on the original ipfwadm man page by Jos Vos <jos@xos.nl>
-.\"
-.\" This program is free software; you can redistribute it and/or modify
-.\" it under the terms of the GNU General Public License as published by
-.\" the Free Software Foundation; either version 2 of the License, or
-.\" (at your option) any later version.
-.\"
-.\" This program is distributed in the hope that it will be useful,
-.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
-.\" GNU General Public License for more details.
-.\"
-.\" You should have received a copy of the GNU General Public License
-.\" along with this program; if not, write to the Free Software
-.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\"
-.SH 名前
-iptables/ip6tables \(em IPv4/IPv6 のパケットフィルタと NAT の管理ツール
-.SH 書式
-\fBiptables\fP [\fB\-t\fP \fItable\fP] {\fB\-A\fP|\fB\-C\fP|\fB\-D\fP} \fIchain\fP
-\fIrule\-specification\fP
-.P
-\fBip6tables\fP [\fB\-t\fP \fItable\fP] {\fB\-A\fP|\fB\-C\fP|\fB\-D\fP} \fIchain
-rule\-specification\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-I\fP \fIchain\fP [\fIrulenum\fP]
-\fIrule\-specification\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-R\fP \fIchain rulenum rule\-specification\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-D\fP \fIchain rulenum\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-S\fP [\fIchain\fP [\fIrulenum\fP]]
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] {\fB\-F\fP|\fB\-L\fP|\fB\-Z\fP} [\fIchain\fP [\fIrulenum\fP]]
-[\fIoptions...\fP]
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-N\fP \fIchain\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-X\fP [\fIchain\fP]
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-P\fP \fIchain target\fP
-.PP
-\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-E\fP \fIold\-chain\-name new\-chain\-name\fP
-.PP
-rule\-specification = [\fImatches...\fP] [\fItarget\fP]
-.PP
-match = \fB\-m\fP \fImatchname\fP [\fIper\-match\-options\fP]
-.PP
-target = \fB\-j\fP \fItargetname\fP [\fIper\-target\-options\fP]
-.SH 説明
-\fBiptables\fP と \fBip6tables\fP は Linux カーネルの IPv4/IPv6
-パケットフィルタルールのテーブルの設定・管理・検査に使用される。 複数の異なるテーブルを定義できる。 各テーブルには数個の組み込みチェインがあり、
-さらにユーザー定義のチェインを加えることもできる。
-.PP
-各チェインは、パケット群にマッチするルールのリストである。 各ルールはマッチしたパケットに対する処理を規定する。
-パケットに対する処理は「ターゲット」と呼ばれ、 同じテーブル内のユーザー定義チェインにジャンプすることもできる。
-.SH ターゲット
-ファイアウォールのルールでは、 パケットのマッチ条件とターゲットを指定する。 パケットがマッチしない場合、 チェイン内の次のルールが評価される。
-パケットがマッチした場合、 ターゲットの値によって次のルールが指定される。 ターゲットの値には、 ユーザー定義チェインの名前、
-\fBiptables\-extensions\fP(8) に説明があるターゲットのいずれか、 もしくは特別な値 \fBACCEPT\fP, \fBDROP\fP,
-\fBRETURN\fP のいずれかを指定する。
-.PP
-\fBACCEPT\fP はパケット通過、 \fBDROP\fP はパケット廃棄を意味する。 \fBRETURN\fP は、このチェインを辿るのを中止して、 前の
-(呼び出し元) チェインの次のルールから再開するという意味である。 組み込みチェインの最後に到達した場合、 または組み込みチェインでターゲット
-\fBRETURN\fP を持つルールにマッチした場合、 パケットをどのように処理するかは、そのチェインのポリシーで指定されたターゲットにより決まる。
-.SH テーブル
-現在のところ 5 つの独立なテーブルが存在する (ある時点でどのテーブルが存在するかは、 カーネルの設定やどういったモジュールが存在するかに依存する)。
-.TP
-\fB\-t\fP, \fB\-\-table\fP \fItable\fP
-このコマンドで操作するパケットマッチングテーブルを指定する。 カーネルで自動モジュールローディングが有効になっている場合、
-そのテーブルで必要となるモジュールがまだロードされていなければ、 ロードされる。
-
-以下のテーブルがある。
-.RS
-.TP .4i
-\fBfilter\fP:
-(\-t オプションが指定されていない場合は) このテーブルがデフォルトとなる。 このテーブルには、 \fBINPUT\fP
-(ローカルマシンのソケット宛のパケットに対するチェイン)、 \fBFORWARD\fP (マシンを経由して転送されるパケットに対するチェイン)、
-\fBOUTPUT\fP (ローカルマシンで生成されたパケットに対するチェイン) という組み込みチェインがある。
-.TP
-\fBnat\fP:
-このテーブルは新しい接続を開くパケットの場合に参照される。 \fBPREROUTING\fP
-(パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)、 \fBOUTPUT\fP
-(ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)、 \fBPOSTROUTING\fP
-(パケットが出て行くときに変換するためのチェイン) という 3 つの組み込みチェインがある。 IPv6 NAT サポートはカーネル 3.7
-以降で利用できる。
-.TP
-\fBmangle\fP:
-このテーブルは特別なパケット変換に使われる。 カーネル 2.4.17 までは、組み込みチェインは \fBPREROUTING\fP
-(パケットが入ってきた場合、 すぐにそのパケットを変換するためのチェイン)、 \fBOUTPUT\fP (ローカルで生成されたパケットを
-ルーティングの前に変換するためのチェイン) の 2 つであった。 カーネル 2.4.18 からは、これらに加えて \fBINPUT\fP
-(マシン自体に入ってくるパケットに対するチェイン)、 \fBFORWARD\fP (マシンを経由するパケットに対するチェイン)、 \fBPOSTROUTING\fP
-(パケットが出て行くときに変換するためのチェイン) の 3 つの組み込みチェインもサポートされている。
-.TP
-\fBraw\fP:
-このテーブルは、NOTRACK ターゲットとの組み合わせで使用され、接続追跡 (connection tracking)
-の対象外とする通信を設定するのに使われる。このテーブルは netfilter フックに優先度高で登録されているので、 ip_conntrack や他の
-IP テーブルよりも前に呼ばれる。 このテーブルでは、 \fBPREROUTING\fP
-(任意のネットワークインタフェースから到着するパケットに対するチェイン)、 \fBOUTPUT\fP (ローカルプロセスが生成したパケットに対するチェイン)
-の 2 つの組み込みチェインが提供されている。
-.TP
-\fBsecurity\fP:
-このテーブルは、強制アクセス制御 (Mandatory Access Control; MAC) のネットワークルール用に使用される。 例えば、
-\fBSECMARK\fP や \fBCONNSECMARK\fP ターゲットにより有効にされるルールなどである。 強制アクセス制御は、 SELinux などの
-Linux セキュリティモジュールにより実装されている。 セキュリティテーブルは filter テーブルの後に呼ばれる。 これにより、
-強制アクセス制御のルールよりも前に、 filter テーブルの任意アクセス制御 (Discretionary Access Control; DAC)
-のルールを適用することができる。 このテーブルでは、 \fBINPUT\fP (マシン自体に入ってくるパケットに対するチェイン)、 \fBOUTPUT\fP
-(ローカルマシンで生成されたパケットに対してルーティング前に変更を行うためのチェイン)、 \fBFORWARD\fP
-(マシンを経由して転送されるパケットに対してルーティング前に変更を行うためのチェイン) の 3 つの組み込みチェインが提供されている。
-.RE
-.SH オプション
-\fBiptables\fP と \fBip6tables\fP で使えるオプションは、いくつかのグループに分けられる。
-.SS コマンド
-これらのオプションは、実行したい動作を指定する。 以下の説明で注記されていない限り、 コマンドラインで指定できるのはこの中の一つだけである。
-長いバージョンのコマンド名とオプション名は、 \fBiptables\fP が他のコマンド名やオプション名と区別できる範囲で (後ろの方の文字を省略して)
-指定することもできる。
-.TP
-\fB\-A\fP, \fB\-\-append\fP \fIchain rule\-specification\fP
-選択されたチェインの最後に 1 つ以上のルールを追加する。 送信元や送信先の名前の解決を行って、複数のアドレスに展開された場合は、
-可能なアドレスの組合せそれぞれに対してルールが追加される。
-.TP
-\fB\-C\fP, \fB\-\-check\fP \fIchain rule\-specification\fP
-指定したルールにマッチするルールが指定されたチェインにあるかを確認する。 このコマンドでマッチするエントリを探すのに使用されるロジックは \fB\-D\fP
-と同じだが、 既存の iptables 設定は変更されず、終了コードは成功、失敗を示すのに使用される。
-.TP
-\fB\-D\fP, \fB\-\-delete\fP \fIchain rule\-specification\fP
-.ns
-.TP
-\fB\-D\fP, \fB\-\-delete\fP \fIchain rulenum\fP
-選択されたチェインから 1 つ以上のルールを削除する。 このコマンドには 2 つの使い方がある: チェインの中の番号 (最初のルールを 1 とする)
-を指定する場合と、 マッチするルールを指定する場合である。
-.TP
-\fB\-I\fP, \fB\-\-insert\fP \fIchain\fP [\fIrulenum\fP] \fIrule\-specification\fP
-選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。 ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。
-ルール番号が指定されなかった場合、ルール番号のデフォルトは 1 となる。
-.TP
-\fB\-R\fP, \fB\-\-replace\fP \fIchain rulenum rule\-specification\fP
-選択されたチェインのルールを置き換える。 送信元や送信先の名前が複数のアドレスに展開された場合は、このコマンドは失敗する。 ルール番号は 1
-からはじまる。
-.TP
-\fB\-L\fP, \fB\-\-list\fP [\fIchain\fP]
-選択されたチェインにある全てのルールを一覧表示する。 チェインが指定されない場合、全てのチェインのリストが一覧表示される。
-他のコマンドと同様に、指定されたテーブル (デフォルトは filter) に対して作用する。 NAT ルールを表示するには以下のようにする。
-.nf
- iptables \-t nat \-n \-L
-.fi
-DNS の逆引きを避けるために、 \fB\-n\fP オプションと共に使用されることがよくある。 \fB\-Z\fP (ゼロクリア)
-オプションを同時に指定することもできる。 この場合、各チェインの表示とゼロクリアは同時に行われ、カウンタ値に抜けが発生することはない。
-細かな出力内容は同時に指定された他の引き数により変化する。 以下のように \fB\-v\fP オプションを指定しない限り、
-ルールの表示は一部省略されたものとなる。
-.nf
- iptables \-L \-v
-.fi
-.TP
-\fB\-S\fP, \fB\-\-list\-rules\fP [\fIchain\fP]
-選択されたチェインにある全てのルールを表示する。チェインが指定されない場合、 iptables\-save と同じく、 全てのチェインの情報が表示される。
-他のコマンド同様、 指定されたテーブル (デフォルトは filter) に対して作用する。
-.TP
-\fB\-F\fP, \fB\-\-flush\fP [\fIchain\fP]
-選択されたチェイン (何も指定されなければテーブル内の全てのチェイン) の内容を全消去する。これは全てのルールを 1 個ずつ削除するのと同じである。
-.TP
-\fB\-Z\fP, \fB\-\-zero\fP [\fIchain\fP [\fIrulenum\fP]]
-全てのチェインのパケットカウンタとバイトカウンタをゼロにする。 チェインやチェイン内のルールが指定された場合には、
-指定されたチェインやルールのカウンタだけをゼロにする。 クリアされる直前のカウンタを見るために、 \fB\-L\fP, \fB\-\-list\fP (一覧表示)
-オプションと同時に指定することもできる (上記を参照)。
-.TP
-\fB\-N\fP, \fB\-\-new\-chain\fP \fIchain\fP
-指定した名前のユーザー定義チェインを作成する。 同じ名前のターゲットが存在していてはならない。
-.TP
-\fB\-X\fP, \fB\-\-delete\-chain\fP [\fIchain\fP]
-指定したユーザー定義チェインを削除する。 そのチェインが参照されていてはならない。
-チェインを削除する前に、そのチェインを参照しているルールを削除するか、別のチェインを参照するようにしなければならない。
-チェインは空でなければならない、つまりチェインにルールが登録されていてはいけない。
-引き数が指定されなかった場合、テーブルにあるチェインのうち組み込みチェイン以外のものを全て削除する。
-.TP
-\fB\-P\fP, \fB\-\-policy\fP \fIchain target\fP
-チェインのポリシーを指定したターゲットに設定する。指定可能なターゲットは「\fBターゲット\fP」の章を参照すること。 (ユーザー定義ではない)
-組み込みチェインにしかポリシーは設定できない。 また、ポリシーのターゲットに、 組み込みチェインやユーザー定義チェインを設定することはできない。
-.TP
-\fB\-E\fP, \fB\-\-rename\-chain\fP \fIold\-chain new\-chain\fP
-ユーザー定義チェインを指定した名前に変更する。 これは見た目だけの変更なので、テーブルの構造には何も影響しない。
-.TP
-\fB\-h\fP
-ヘルプ。 (今のところはとても簡単な) コマンド書式の説明を表示する。
-.SS パラメータ
-以下のパラメータは (add, delete, insert, replace, append コマンドで用いられて) ルールの仕様を決める。
-.TP
-\fB\-4\fP, \fB\-\-ipv4\fP
-このオプションは iptables と iptables\-restore では効果を持たない。 \fB\-4\fP オプションを使ったルールを
-ip6tables\-restore で挿入された場合、(この場合に限り)
-そのルールは黙って無視される。それ以外の使い方をした場合はエラーが発生する。このオプションを使うと、 IPv4 と IPv6
-の両方のルールを一つのルールファイルに記述し、iptables\-restore と ip6tables\-restore
-の両方でそのファイルを使うことができる。
-.TP
-\fB\-6\fP, \fB\-\-ipv6\fP
-\fB\-6\fP オプションを使ったルールを iptables\-restore で挿入された場合、(この場合に限り)
-そのルールは黙って無視される。それ以外の使い方をした場合はエラーが発生する。このオプションを使うと、 IPv4 と IPv6
-の両方のルールを一つのルールファイルに記述し、iptables\-restore と ip6tables\-restore
-の両方でそのファイルを使うことができる。 このオプションは ip6tables と ip6tables\-restore では効果を持たない。
-.TP
-[\fB!\fP] \fB\-p\fP, \fB\-\-protocol\fP \fIprotocol\fP
-ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。 指定できるプロトコルは、 \fBtcp\fP, \fBudp\fP, \fBudplite\fP,
-\fBicmp\fP, \fBesp\fP, \fBah\fP, \fBsctp\fP と特別なキーワード \fBall\fP のいずれか 1 つか、または数値である。
-数値には、これらのプロトコルのどれか、またはそれ以外のプロトコルを表す数値を指定することができる。 /etc/protocols
-にあるプロトコル名も指定できる。 プロトコルの前に "!" を置くと、そのプロトコルを除外するという意味になる。 数値 0 は \fBall\fP と等しい。
-"\fBall\fP" は全てのプロトコルとマッチし、このオプションが省略された際のデフォルトである。 ip6tables では、 \fBesp\fP 以外の
-IPv6 拡張ヘッダは指定できない点に注意。 \fBesp\fP と \fBipv6\-nonext\fP はバージョン 2.6.11 以降のカーネルで使用できる。
-数値 0 は \fBall\fP と等しい。 これは、プロトコルフィールドが値 0 であるかを直接検査できないことを意味する。 HBH
-ヘッダとマッチさせるためには、 HBH ヘッダが例え最後にある場合であっても、 \fB\-p 0\fP を使うことはできず、必ず \fB\-m hbh\fP
-を使う必要がある。
-.TP
-[\fB!\fP] \fB\-s\fP, \fB\-\-source\fP \fIaddress\fP[\fB/\fP\fImask\fP][\fB,\fP\fI...\fP]
-送信元の指定。 \fIaddress\fP はホスト名、ネットワーク IP アドレス (\fB/\fP\fImask\fP を指定する)、通常の IP
-アドレスのいずれかである。ホスト名の解決は、カーネルにルールが登録される前に一度だけ行われる。 DNS
-のようなリモートへの問い合わせで解決する名前を指定するのは非常に良くないことである。 \fImask\fP には、IPv4 ネットワークマスクか
-(iptables の場合)、ネットワークマスクの左側にある 1 の数を表す数値を指定する。つまり、 \fI24\fP という iptables の mask
-は \fI255.255.255.0\fP と同じである。 アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。 フラグ
-\fB\-\-src\fP は、このオプションの別名である。複数のアドレスを指定することができるが、その場合は (\-A での追加であれば)
-\fB複数のルールに展開され\fP、 (\-D での削除であれば) 複数のルールが削除されることになる。
-.TP
-[\fB!\fP] \fB\-d\fP, \fB\-\-destination\fP \fIaddress\fP[\fB/\fP\fImask\fP][\fB,\fP\fI...\fP]
-宛先の指定。 書式の詳しい説明については、 \fB\-s\fP (送信元) フラグの説明を参照すること。 フラグ \fB\-\-dst\fP
-は、このオプションの別名である。
-.TP
-\fB\-m\fP, \fB\-\-match\fP \fImatch\fP
-使用するマッチ、つまり、特定の通信を検査する拡張モジュールを指定する。 マッチの集合により、ターゲットが起動される条件が構築される。
-マッチは先頭から末尾に向けてコマンドラインで指定された順に評価され、 短絡式 (short\-circuit fashion)
-の動作を行う、つまり、いずれの拡張モジュールが偽 (false) を返した場合、そこで評価は終了する。
-.TP
-\fB\-j\fP, \fB\-\-jump\fP \fItarget\fP
-ルールのターゲット、 つまり、 パケットがマッチした場合にどうするかを指定する。 ターゲットはユーザー定義チェイン
-(そのルール自身が入っているチェイン以外) でも、 パケットの行方を即時に決定する特別な組み込みターゲットでも、 拡張ターゲット (以下の
-「\fBターゲットの拡張\fP」 を参照) でもよい。 このオプションがルールの中で省略された場合 (かつ \fB\-g\fP が使用されなかった場合)、
-ルールにマッチしてもパケットの行方に何も影響しないが、 ルールのカウンタは 1 つ加算される。
-.TP
-\fB\-g\fP, \fB\-\-goto\fP \fIchain\fP
-ユーザー定義チェインで処理を継続することを指定する。 \-\-jump オプションと異なり、 return が行われた際にこのチェインでの処理は継続されず、
-\-\-jump でこのチェインを呼び出したチェインで処理が継続される。
-.TP
-[\fB!\fP] \fB\-i\fP, \fB\-\-in\-interface\fP \fIname\fP
-パケットが受信されたインターフェース名 (\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインに入るパケットのみ)。
-インターフェース名の前に "!" を置くと、 そのインターフェースを除外するという意味になる。 インターフェース名が "+" で終っている場合、
-その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、 任意のインターフェース名にマッチする。
-.TP
-[\fB!\fP] \fB\-o\fP, \fB\-\-out\-interface\fP \fIname\fP
-パケットを送信することになるインターフェース名 (\fBFORWARD\fP, \fBOUTPUT\fP, \fBPOSTROUTING\fP
-チェインに入るパケットのみ)。 インターフェース名の前に "!" を置くと、 そのインターフェースを除外するという意味になる。 インターフェース名が
-"+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、
-任意のインターフェース名にマッチする。
-.TP
-[\fB!\fP] \fB\-f\fP, \fB\-\-fragment\fP
-IPv4 の分割されたパケット (fragmented packet) のうち 2 番目以降のパケットだけを参照するルールであることを意味する。
-このようなパケット (または ICMP タイプのパケット) は 送信元ポートと宛先ポートを知る方法がないので、
-送信元ポートや宛先ポートを指定するようなルールにはマッチしない。 "\-f" フラグの前に "!" を置くと、
-分割されたパケットのうち最初のフラグメントか、 分割されていないパケットだけにマッチする。 このオプションは IPv4 固有であり、 ip6tables
-では利用できない。
-.TP
-\fB\-c\fP, \fB\-\-set\-counters\fP \fIpackets bytes\fP
-このオプションを使うと、 (\fBinsert\fP, \fBappend\fP, \fBreplace\fP 操作において) 管理者はパケットカウンタとバイトカウンタを
-初期化することができる。
-.SS その他のオプション
-その他に以下のオプションを指定することができる:
-.TP
-\fB\-v\fP, \fB\-\-verbose\fP
-詳細な出力を行う。 list コマンドの際に、 インターフェース名、 ルールのオプション (ある場合のみ)、 TOS マスクを表示させる。
-パケットとバイトカウンタも表示される。 添字 'K', 'M', 'G' は、 それぞれ 1000, 1,000,000, 1,000,000,000
-倍を表す (これを変更する \fB\-x\fP フラグも見よ)。 このオプションを append, insert, delete, replace
-コマンドに適用すると、 ルールについての詳細な情報を表示する。 \fB\-v\fP は複数回指定することができ、
-数が多くなるとより多くのデバッグ情報が出力される。
-.TP
-\fB\-w\fP, \fB\-\-wait\fP
-Wait for the xtables lock. To prevent multiple instances of the program
-from running concurrently, an attempt will be made to obtain an exclusive
-lock at launch. By default, the program will exit if the lock cannot be
-obtained. This option will make the program wait until the exclusive lock
-can be obtained.
-.TP
-\fB\-n\fP, \fB\-\-numeric\fP
-数値による出力を行う。 IP アドレスやポート番号を数値によるフォーマットで表示する。 デフォルトでは、iptables は (可能であれば) IP
-アドレスやポート番号をホスト名、ネットワーク名、サービス名で表示しようとする。
-.TP
-\fB\-x\fP, \fB\-\-exact\fP
-厳密な数値で表示する。 パケットカウンタとバイトカウンタを、 K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か)
-ではなく、 厳密な値で表示する。 このオプションは、 \fB\-L\fP コマンドの場合のみ意味がある。
-.TP
-\fB\-\-line\-numbers\fP
-ルールを一覧表示する際、 そのルールがチェインのどの位置にあるかを表す行番号を各行の始めに付加する。
-.TP
-\fB\-\-modprobe=\fP\fIcommand\fP
-チェインにルールを追加または挿入する際に、 (ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う \fIcommand\fP
-を指定する。
-.SH マッチングとターゲットの拡張
-.PP
-iptables は、パケットマッチングとターゲットの拡張を使うことができる。 \fBiptables\-extensions\fP(8) man
-ページに利用できる拡張のリストが載っている。
-.SH 返り値
-いろいろなエラーメッセージが標準エラーに表示される。 正常に動作した場合、 終了コードは 0 である。
-不正なコマンドラインパラメータによりエラーが発生した場合は、 終了コード 2 が返される。 その他のエラーの場合は、 終了コード 1 が返される。
-.SH バグ
-バグ? 何それ?? ;\-) http://bugzilla.netfilter.org/ を覗いてみるといいだろう。
-.SH "IPCHAINS との互換性"
-\fBiptables\fP は、Rusty Russell の ipchains と非常によく似ている。 大きな違いは、チェイン \fBINPUT\fP と
-\fBOUTPUT\fP が、それぞれローカルホストに入ってくるパケットと、 ローカルホストから出されるパケットのみしか調べないという点である。 よって、
-どのパケットも 3 つあるチェインのうち 1 つしか通らない (ただし、 ループバックトラフィックだけは例外で、 INPUT と OUTPUT
-の両方のチェインを通る)。 ipchains では、 フォワードされるパケットは 3 つのチェイン全てを通っていた。
-.PP
-その他の大きな違いは、 \fB\-i\fP で入力インターフェース、 \fB\-o\fP で出力インターフェースを表わし、 \fBFORWARD\fP
-チェインに入るパケットでは入出力両方のインターフェースが指定可能な点である。
-.PP
-NAT のいろいろな形式が分割された。 オプションの拡張モジュールと組み合わせて、デフォルトの「フィルタ」テーブルを用いた場合でも、
-\fBiptables\fP は純粋なパケットフィルタとなる。 これにより、 ipchains で見られた IP
-マスカレーディングとパケットフィルタリングの組み合せた場合に分かりにくかった点が分かりやすくなっている。
-そのため、以下のオプションを指定した場合の動作は違ったものになっている。
-.nf
- \-j MASQ
- \-M \-S
- \-M \-L
-.fi
-iptables では、その他にもいくつかの変更がある。
-.SH 関連項目
-\fBiptables\-apply\fP(8), \fBiptables\-save\fP(8), \fBiptables\-restore\fP(8),
-\fBiptables\-extensions\fP(8),
-.PP
-packet\-filtering\-HOWTO では、パケットフィルタリングについての詳細な iptables の使用法が説明されている。
-NAT\-HOWTO には NAT について詳しい説明がある。 netfilter\-extensions\-HOWTO では、
-標準的な配布には含まれない拡張の詳細が説明されている。 netfilter\-hacking\-HOWTO には、内部構造についての詳細な説明がある。
-.br
-\fBhttp://www.netfilter.org/\fP を参照。
-.SH 作者
-Rusty Russell が最初に iptables を書いた。初期の段階での Michael Neuling との議論の上で書かれた。
-.PP
-Marc Boucher は Rusty に iptables の汎用的なパケット選択のフレームワークを使うように働きかけて、 ipnatctl
-を使わないようにした。そして、mangle テーブル、所有者マッチング、 mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。
-.PP
-James Morris は TOS ターゲットと tos マッチングを書いた。
-.PP
-Jozsef Kadlecsik は REJECT ターゲットを書いた。
-.PP
-Harald Welte は ULOG ターゲット、NFQUEUE ターゲット、新しい libiptc や TTL, DSCP, ECN
-のマッチ・ターゲットを書いた。
-.PP
-Netfilter コアチームは、Martin Josefsson, Yasuyuki Kozakai, Jozsef Kadlecsik,
-Patrick McHardy, James Morris, Pablo Neira Ayuso, Harald Welte, Rusty
-Russell である。
-.PP
-.\" .. and did I mention that we are incredibly cool people?
-.\" .. sexy, too ..
-.\" .. witty, charming, powerful ..
-.\" .. and most of all, modest ..
-man ページは元々 Herve Eychenne <rv@wallfire.org> が書いた。
-.SH バージョン
-.PP
-この man ページは iptables/ip6tables 1.4.21 について説明している。
+++ /dev/null
-☆:iptables:1.4.18=>1.4.21:2013/11/22:iptables-xml:1:2014/05/07::amotoki@gmail.com:Akihiro Motoki:
-×:iptables:1.4.21:2012/03/27:ipq_create_handle:3:::::
-※:iptables:1.4.21:2012/03/27:ipq_destroy_handle:3:ipq_create_handle:3:
-×:iptables:1.4.21:2012/03/27:ipq_errstr:3:::::
-※:iptables:1.4.21:2012/03/27:ipq_get_msgerr:3:ipq_message_type:3:
-※:iptables:1.4.21:2012/03/27:ipq_get_packet:3:ipq_message_type:3:
-×:iptables:1.4.21:2012/03/27:ipq_message_type:3:::::
-※:iptables:1.4.21:2012/03/27:ipq_perror:3:ipq_errstr:3:
-×:iptables:1.4.21:2012/03/27:ipq_read:3:::::
-×:iptables:1.4.21:2012/03/27:ipq_set_mode:3:::::
-×:iptables:1.4.21:2012/03/27:ipq_set_verdict:3:::::
-×:iptables:1.4.21:2013/11/22:libipq:3:::::
-@:iptables:1.4.21:2013/11/22:ip6tables:8:iptables:8:
-@:iptables:1.4.21:2013/11/22:ip6tables-restore:8:iptables-restore:8:
-@:iptables:1.4.21:2013/11/22:ip6tables-save:8:iptables-save:8:
-○:iptables:1.4.21:2013/11/22:iptables:8:2014/05/07::amotoki@gmail.com:Akihiro Motoki:
-○:iptables:1.4.21:2013/11/22:iptables-apply:8:2014/05/07::amotoki@gmail.com:Akihiro Motoki:
-☆:iptables:1.4.18=>1.4.21:2013/11/22:iptables-extensions:8:2014/05/07::amotoki@gmail.com:Akihiro Motoki:
-○:iptables:1.4.21:2013/11/22:iptables-restore:8:2014/05/07::amotoki@gmail.com:Akihiro Motoki:
-○:iptables:1.4.21:2013/11/22:iptables-save:8:2014/05/07::amotoki@gmail.com:Akihiro Motoki:
OSDN Git Service
