Path: blob/main/documentation/manual-pages/ja/man5/ipf.5
18093 views
.\" %FreeBSD: src/contrib/ipfilter/man/ipf.5,v 1.8 2004/06/21 22:53:03 darrenr Exp %
.\" WORD: filtering rule �ե��륿�롼��
.\" WORD: semantics ���ޥ�ƥ�����
.\" WORD: inbound �����
.\" WORD: outbound ������
.\" WORD: forward ž��
.\" WORD: transmit ����
.\" WORD: fall-through ��³(���̲�פˤ����block/pass�ȶ��̤Ǥ��ʤ�)
.\" $FreeBSD$
.TH IPF 5
.SH ̾��
ipf, ipf.conf, ipf6.conf \- IP �ѥ��åȥե��륿�Υ롼��ʸˡ
.SH ����
.PP
\fBipf\fP �Υ롼��ե�����ϡ��ɤ��̾���Ǥ��ɤ���ɸ�����ϤǤ⤫�ޤ��ޤ���
�����ͥ������Υե��륿�ꥹ�Ȥ�ɽ������Ȥ���
\fBipfstat\fP �ϲ���ǽ�ʥ롼�����Ϥ��ޤ��Τǡ�
���ν��Ϥ� \fBipf\fP �ؤ����ϤȤ��ƥե����ɥХå�����Τ˻Ȥ��ޤ���
��äơ����ϥѥ��åȤ��Ф������ե��륿�����뤿��ˤϡ����Τ褦�ˤ��ޤ�:
.nf
\fC# ipfstat \-i | ipf \-rf \-\fP
.fi
.SH ʸˡ
.PP
\fBipf\fP ���ե��륿�롼�빽�ۤ˻��Ѥ���ե����ޥåȤϡ�
BNF ��Ȥä�ʸˡ�Ǽ��Τ褦�˼������Ȥ��Ǥ��ޤ�:
\fC
.nf
filter-rule = [ insert ] action in-out [ options ] [ tos ] [ ttl ]
[ proto ] [ ip ] [ group ].
insert = "@" decnumber .
action = block | "pass" | log | "count" | skip | auth | call .
in-out = "in" | "out" .
options = [ log ] [ "quick" ] [ "on" interface-name [ dup ] [ froute ] ] .
tos = "tos" decnumber | "tos" hexnumber .
ttl = "ttl" decnumber .
proto = "proto" protocol .
ip = srcdst [ flags ] [ with withopt ] [ icmp ] [ keep ] .
group = [ "head" decnumber ] [ "group" decnumber ] .
block = "block" [ return-icmp[return-code] | "return-rst" ] .
auth = "auth" | "preauth" .
log = "log" [ "body" ] [ "first" ] [ "or-block" ] [ "level" loglevel ] .
call = "call" [ "now" ] function-name .
skip = "skip" decnumber .
dup = "dup-to" interface-name[":"ipaddr] .
froute = "fastroute" | "to" interface-name[":"ipaddr] .
protocol = "tcp/udp" | "udp" | "tcp" | "icmp" | decnumber .
srcdst = "all" | fromto .
fromto = "from" [ "!" ] object "to" [ "!" ] object .
return-icmp = "return-icmp" | "return-icmp-as-dest" .
object = addr [ port-comp | port-range ] .
addr = "any" | nummask | host-name [ "mask" ipaddr | "mask" hexnumber ] .
port-comp = "port" compare port-num .
port-range = "port" port-num range port-num .
flags = "flags" flag { flag } [ "/" flag { flag } ] .
with = "with" | "and" .
icmp = "icmp-type" icmp-type [ "code" decnumber ] .
return-code = "("icmp-code")" .
keep = "keep" "state" | "keep" "frags" .
loglevel = facility"."priority | priority .
nummask = host-name [ "/" decnumber ] .
host-name = ipaddr | hostname | "any" .
ipaddr = host-num "." host-num "." host-num "." host-num .
host-num = digit [ digit [ digit ] ] .
port-num = service-name | decnumber .
withopt = [ "not" | "no" ] opttype [ withopt ] .
opttype = "ipopts" | "short" | "frag" | "opt" optname .
optname = ipopts [ "," optname ] .
ipopts = optlist | "sec-class" [ secname ] .
secname = seclvl [ "," secname ] .
seclvl = "unclass" | "confid" | "reserv-1" | "reserv-2" | "reserv-3" |
"reserv-4" | "secret" | "topsecret" .
icmp-type = "unreach" | "echo" | "echorep" | "squench" | "redir" |
"timex" | "paramprob" | "timest" | "timestrep" | "inforeq" |
"inforep" | "maskreq" | "maskrep" | decnumber .
icmp-code = decumber | "net-unr" | "host-unr" | "proto-unr" | "port-unr" |
"needfrag" | "srcfail" | "net-unk" | "host-unk" | "isolate" |
"net-prohib" | "host-prohib" | "net-tos" | "host-tos" |
"filter-prohib" | "host-preced" | "cutoff-preced" .
optlist = "nop" | "rr" | "zsu" | "mtup" | "mtur" | "encode" | "ts" |
"tr" | "sec" | "lsrr" | "e-sec" | "cipso" | "satid" | "ssrr" |
"addext" | "visa" | "imitd" | "eip" | "finn" .
facility = "kern" | "user" | "mail" | "daemon" | "auth" | "syslog" |
"lpr" | "news" | "uucp" | "cron" | "ftp" | "authpriv" |
"audit" | "logalert" | "local0" | "local1" | "local2" |
"local3" | "local4" | "local5" | "local6" | "local7" .
priority = "emerg" | "alert" | "crit" | "err" | "warn" | "notice" |
"info" | "debug" .
hexnumber = "0" "x" hexstring .
hexstring = hexdigit [ hexstring ] .
decnumber = digit [ decnumber ] .
compare = "=" | "!=" | "<" | ">" | "<=" | ">=" | "eq" | "ne" | "lt" |
"gt" | "le" | "ge" .
range = "<>" | "><" .
hexdigit = digit | "a" | "b" | "c" | "d" | "e" | "f" .
digit = "0" | "1" | "2" | "3" | "4" | "5" | "6" | "7" | "8" | "9" .
flag = "F" | "S" | "R" | "P" | "A" | "U" .
.fi
.PP
����ʸˡ�ϡ��������Τ���ˤ����֤��ά�����Ƥ��ޤ���
����ʸˡ�˥ޥå������Ȥ߹�碌�Ǥ��äƤ⡢
��̣��ʤ��ʤ�����˥��եȥ����������Ĥ��ʤ���Τ�����ޤ�
(�� TCP �ѥ��åȤ��Ф��� tcp \fBflags\fP �ʤ�)��
.SH �ե��륿�롼��
.PP
�ֺ�û�פ���Í���ʥ롼��� (���ߤΤȤ���) ̵ư��ȼ��η����Ǥ�:
.nf
block in all
pass in all
log out all
count in all
.fi
.PP
�ե��륿�롼��Ͻ����̤�˥����å����졢
�Ǹ�˥ޥå������롼�뤬�ѥ��åȤα�̿����ޤ�
(�㳰: ��� \fBquick\fP ���ץ����򻲾�)��
.PP
�ǥե���ȤǤϡ�
�ե��륿�ϥ����ͥ�Υե��륿�ꥹ�ȤκǸ�˥��󥹥ȡ��뤵��ޤ���
�롼������� \fB@n\fP ���դ���ȡ�
���ߤΥꥹ�Ȥ� n ���ܤΥ���ȥ�Ȥ�����������褦�ˤʤ�ޤ���
����ϡ�����Í���ʥե��륿�Υ롼�륻�åȤ���������ƥ��Ȥ������Í�ѤǤ���
���ʤ����� ipf(8) �򻲾Ȥ��Ƥ���������
.SH ���������
.PP
���������ϡ�
�ե��륿�롼��λĤ����ʬ�˥ѥ��åȤ��ޥå�������ˡ�
���Υѥ��åȤ�ɤΤ褦�˰����Τ��򼨤��ޤ���
�ƥ롼��ϡ����������� 1 �Ļ��Ĥ��Ȥ���ɬ�פǤ��ס�
���Υ��������ǧ������ޤ�:
.TP
.B block
���Υѥ��åȤ򡢥ɥ��åפ���褦�˰����դ��뤳�Ȥ򼨤��ޤ���
�ѥ��åȤ�֥��å����뤳�Ȥ��Ф���
ICMP �ѥ��å� (\fBreturn-icmp\fP) ����
���Υѥ��å��������赯�������� ICMP �ѥ��å� (\fBreturn-icmp-as-dest\fP) ����
TCP �֥ꥻ�åȡ� (\fBreturn-rst\fP) �Ρ������줫�������ѥ��åȤ��֤��褦��
�ե��륿�˻ؼ��Ǥ��ޤ���
ICMP �ѥ��åȤϡ�Ǥ�դ� IP �ѥ��åȤα����Ȥ��������Ǥ���
���Υ����פ���ꤹ�뤳�Ȥ�Ǥ��ޤ���
TCP �ꥻ�åȤϡ�TCP �ѥ��åȤ��Ф���Ŭ�Ѥ����롼��ˤ����ƤΤ߻��ѤǤ��ޤ���
\fBreturn-icmp\fP �ޤ��� \fBreturn-icmp-as-dest\fP ��Ȥ��Ȥ���
��ã�ԲĤ� '������' ������ǽ�Ǥ���
���Υ����פȤϡ�
�ͥåȥ����ã�Բġ��ݡ�����ã�Բġ����¤ˤ��ػߤΤ����줫�Ǥ���
������ˡ�ϡ�
\fBreturn-icmp\fP �ޤ��� \fBreturn-icmp-as-dest\fP ��ľ��ˡ�
�����פ˴�Ϣ���� ICMP �����ɤ��̤dz��Ȥ�����ΤǤ���
�㤨��
.nf
block return-icmp(11) ...
.fi
.PP
�Ȥ���ȡ�Type-Of-Service (TOS) ICMP ��ã�Բĥ��顼���֤��ޤ���
.TP
.B pass
���Υѥ��åȤ򡢤��Τޤޥե��륿���̲ᤵ����褦�˰����դ��ޤ���
.TP
.B log
���Υѥ��åȤΥ�������ޤ� (��ҤΥ������Ỳ��)��
�ѥ��åȤ��ե��륿���̲��ǽ���ݤ��ˤϡ��ƶ���Ϳ���ޤ���
.TP
.B count
���Υѥ��åȤ򡢥ե��륿�Υ�������ƥ������פ˴ޤ�ޤ���
�ѥ��åȤ��ե��륿���̲��ǽ���ݤ��ˤϡ��ƶ���Ϳ���ޤ���
���פ� ipfstat(8) �ˤƱ�����ǽ�Ǥ���
.TP
.B call
���Υ��������ϻ��ꤵ�줿�����ͥ���ؿ���ƤӽФ�����˻��Ѥ���ޤ���
�����ͥ���ؿ��ϡ�����θƤӽФ����󥿥ե�����������ɬ�פ�����ޤ���
�������ޥ����������������ȥ��ޥ�ƥ��������������
���Ѳ�ǽ�ʥ����������䤦���Ȥ��Ǥ��ޤ���
�μ�������ϥå��������Ѥ��뵡ǽ�Ǥ��ꡢ���ߤΤȤ���ʸ�񲽤���Ƥ��ޤ���
.TP
.B "skip <n>"
�ե��륿�ˡ����� \fIn\fP �ե��륿�롼��򥹥��åפ����ޤ���
�����åפ�����ϰϤΥ롼��������ޤ��Ͻ�����ä���硢
\fIn\fP ���ͤ�Ŭ�ڤ�Ĵ������ޤ���
.TP
.B auth
����ˤ�ꡢ
�桼�����֥ץ�������¹Ԥ������������ǧ����ѥ��åȾ�����ԤĤ��Ȥˤ�ꡢ
ǧ�ڤǤ��ޤ���
�ץ�����ब�����ͥ���Ф��ƥѥ��å��̲��������ݤ���
\fI�ºݤ�\fP �ե饰���֤��ޤǤδ֡��ѥ��åȤ������Хåե����ݻ�����ޤ���
�ѥ��å��̲��������ޤ���
ǧ������ʤ�����������Υѥ��åȤ򥫡��ͥ����褦�ؼ��������ˡ�
���Τ褦�ʥץ������ϡ�
���������ɥ쥹�򸫤뤫�⤷��ޤ��󤷡�
�桼������� (�ѥ��������) ������ǧ�ڤ���뤫�⤷��ޤ���
.TP
.B preauth
���Υ��饹�Υѥ��åȤ��Ф��Ƥϡ�
���ʤ����β��Τ���˴���ǧ�ڤ��줿�ꥹ�Ȥ򸫤�٤��Ǥ���ȡ�
�ե��륿�˻ؼ����ޤ���
���˥ޥå�����롼�뤬���դ���ʤ��ȡ��ѥ��åȤ���Ȥ���ޤ�
(FR_PREAUTH �� FR_PASS ��Ʊ���ǤϤ���ޤ���)��
���˥ޥå�����롼�뤬���դ���ȡ����η�̤����Ѥ���ޤ���
���줬���Ѥ��������ϡ�
�桼�����ե��������������\fI��������\fP����
���Υ桼���˴ؤ�����Ū�ʥ롼������ꤹ��褦�ʾ��Ǥ���
.PP
���θ�� \fBin\fP �� \fBout\fP �Τ����줫�Ǥ���ɬ�פ�����ޤ���
�����ͥ��������̲᤹��ѥ��åȤϡ������ (���󥿥ե������ˤƼ������줿
�Ф���ǡ�
�����ͥ�Υץ��ȥ���������˸��äư�ư���Ƥ���) ����
������ (�ץ��ȥ��륹���å��ˤ�����Фޤ���ž�����졢
���󥿥ե������˸����äƤ���)
���Τ����줫�Ǥ���
�ƥե��륿�롼�뤬�����ϤΤɤ���¦��Ŭ�Ѥ����Τ���
����Ū�˼���ɬ�פ�����ޤ���
.SH ���ץ����
.PP
���ץ����ΰ�����û�������¤��٤ƾ�ά��ǽ�Ǥ���
���ץ���󤬻��Ѥ����Ȥ����Ǥϡ������˼���������֤����ɬ�פ�����ޤ���
���Υ��ץ���󤬸��ߥ��ݡ��Ȥ���Ƥ��ޤ�:
.TP
.B log
�Ǹ�˥ޥå�����롼��ξ�硢
�ѥ��åȥإå��� \fBipl\fP �����˽ñ¤¹ï¿½ï¿½Þ¤ï¿½Þ¤ï¿½ (��ҤΥ������Ỳ��)��
.TP
.B quick
�ե��륿���®���������³�Υ롼�����ͥ�褵���뤿��ˡ�
�롼��Ρ֥��硼�ȥ��åȡפ�����ޤ���
�ѥ��åȤ� \fBquick\fP �ΰ����դ����ե��륿�롼��˥ޥå������硢
���Υ롼�뤬�Ǹ�˥����å������롼��ˤʤꡢ
��û�� (short-circuit)�ץѥ��ˤ���³�Υ롼�뤬
���Υѥ��åȤ��Ф��ƽ�������ʤ��ʤ�ޤ���
(���ߤΥ롼�뤬Ŭ�Ѥ��줿���) �ѥ��åȤθ��ߤξ��֤���
�ѥ��åȤ��̲ᤵ��뤫�֥��å�����뤫����ꤷ�ޤ���
.IP
���Υ��ץ���󤬻��ꤵ��ʤ��ȡ�
�롼��ϡַ�³(fall-through)�ץ롼��Ȥ���ޤ���
�Ĥޤꡢ�ޥå��η�� (�֥��å�/�̲�) ����¸���졢
���ʤ�ޥå������뤫��ߤ뤿���������³����ޤ���
.TP
.B on
�ޥå���³���˥��󥿥ե�����̾���Ȥ߹��ߤޤ���
���󥿥ե�����̾�� "netstat \-i" ��ɽ���Ǥ��ޤ���
���Υ��ץ�������Ѥ���ȡ�
���ꤷ������ (������) �ˤ��Υ��󥿥ե��������̲᤹��ѥ��åȤ��Ф��ƤΤߡ�
���Υ롼�뤬�ޥå����ޤ���
���Υ��ץ���󤬻��ꤵ��ʤ��ȡ�
�롼��Ϥ��Υѥ��åȤ��֤��줿���󥿥ե������˰�¸������
(���ʤ�������󥿥ե�������) Ŭ�Ѥ���ޤ���
�ե��륿�롼�륻�åȤ������󥿥ե������˶��̤Ǥ��ꡢ
�ƥ��󥿥ե��������Ф��ƥե��륿�ꥹ�Ȥ���ĤΤǤϤ���ޤ���
.IP
���Υ��ץ������äˡ�ñ��� IP ���� (IP spoofing) ���Ф����ɸ�Ȥ���Í�ѤǤ�:
���ꤷ�����󥿥ե�������ǡ�
���ꤷ�����������ɥ쥹�Ǥ���Ȥ�������ϥѥ��åȤΤߤ��̤���
¾�Υѥ��åȤ����������ɥ��åפ��뤳�Ȥ��Ǥ��ޤ���
.TP
.B dup-to
�ѥ��åȤ򥳥ԡ�����
ʣ�̤����ѥ��åȤ���ꤷ�����󥿥ե��������Ф��Ƴ�����������ޤ���
�ޤ������� IP ���ɥ쥹����ꤷ�ơ��ѹ����뤳�Ȥ��Ǥ��ޤ���
�ͥåȥ�����˥ե�����Ѥ��ơ��ۥ��ȳ��ǥ������뤿���Í�ѤǤ���
.TP
.B to
���ꤷ�����󥿥ե������ˤ����ơ��ѥ��åȤ򳰸������塼�˰�ư�����ޤ���
�����ͥ�Υ롼�ƥ��󥰤���򤹤뤿��˻��ѤǤ���
�ѥ��åȤ��Ф���Ĥ�Υ����ͥ������Х��ѥ����뤿��ˤ���ѤǤ��ޤ�
(������롼���Ŭ�Ѥ��줿���)��
��äơ��롼���ǤϤʤ����ե��륿��󥰥ϥ֤䥹���å��Τ褦�ˡ�
Ʃ��Ū��ư���ե���������������ۤ��뤳�Ȥ��Ǥ��ޤ���
\fBfastroute\fP ������ɤϡ����Υ��ץ�����Ʊ����Ǥ���
.SH �ޥå��󥰥ѥ�᡼��
.PP
������˵��ܤ���Ƥ��ë¥ï¿½ï¿½ï¿½ï¡¼ï¿½É¤Ï¡ï¿½ï¿½ë¡¼ï¿½ë¤¬ï¿½Þ¥Ã¥ï¿½ï¿½ï¿½ï¿½ë¤«ï¿½Ý¤ï¿½ï¿½ï¿½ï¿½ï¿½ê¤¹ï¿½ï¿½È¤ï¿½ï¿½Ë¡ï¿½
�ѥ��åȤΤɤ�°������Ѥ���Τ��òµ½Ò¤ï¿½ï¿½ë¤¿ï¿½ï¿½Ë»ï¿½ï¿½Ñ¤ï¿½ï¿½ï¿½Þ¤ï¿½ï¿½ï¿½
�ʲ�������°�����ޥå��󥰤˻��ѤǤ������ν���ǻ��Ѥ���ɬ�פ�����ޤ�:
.TP
.B tos
�ۤʤ륵���ӥ��� (Type-Of-Service) �ͤ���ĥѥ��åȤ�ե��륿�Ǥ��ޤ���
���ξ塢�ġ��Υ����ӥ���٥���Ȥ߹�碌�ǥե��륿�Ǥ��ޤ���
TOS �ޥ������Ф����ͤϡ�16 �ʿ��ޤ��� 10 �ʿ���������ɽ������ޤ���
.TP
.B ttl
�ѥ��åȤ���¸���� (Time-To-Live) �ͤ����򤹤뤳�Ȥ�Ǥ��ޤ���
�ե��륿�롼���Ϳ�������ͤϡ�
�ޥå����Ԥ���ѥ��åȤ��ͤȸ�̩�˥ޥå�����ɬ�פ�����ޤ���
�����ͤϡ�10 �ʿ��������ǤΤ�Ϳ���뤳�Ȥ��Ǥ��ޤ���
.TP
.B proto
����Υץ��ȥ�����Ф��ƥޥå����뤳�Ȥ��Ǥ��ޤ���
\fB/etc/protocols\fP ������ץ��ȥ���̾��ǧ������ޤ��������Ѳ�ǽ�Ǥ���
�ޤ����ץ��ȥ���� 10 �ʿ��ǻ��ꤹ�뤳�Ȥ�Ǥ��ޤ���
����ˤ�ꡢ���ʤ��ȼ��Υץ��ȥ����
�������ץ��ȥ���Ǥ��뤿��ꥹ�Ȥ��Ť��ƷǺܤ���Ƥ��ʤ���Τ��Ф���
�ޥå�����롼�������Ǥ��ޤ���
.IP
TCP �ޤ��� UDP �ѥ��åȤ˥ޥå����롢
�ü�ʥץ��ȥ��ë¥ï¿½ï¿½ï¿½ï¡¼ï¿½ï¿½ \fBtcp/udp\fP ����Ѥ��뤳�Ȥ��Ǥ��ޤ���
���Υ�����ɤϡ�
Ʊ���롼��򤤤��Ĥ�񤫤ʤ��Ƥ�褤�褦�ˤ��뤿�ᡢ�ɲä���ޤ�����
.\" XXX grammar should reflect this (/etc/protocols)
.PP
\fBfrom\fP �� \fBto\fP �Υ�����ɤϡ�
IP ���ɥ쥹 (����Ӿ�ά��ǽ�ʥݡ����ֹ�) �ȥޥå������뤿��˻��Ѥ���ޤ���
��������������Ρ�ξ���Ρץѥ�᡼������ꤹ��ɬ�פ�����ޤ���
.PP
IP ���ɥ쥹�λ�����ˡ�ϡ����� 2 �ĤΤ����Τ����줫�Ǥ�:
���ͤˤ�륢�ɥ쥹\fB/\fP�ޥ����ޤ��ϡ��ۥ���̾ \fBmask\fP �ͥåȥޥ�����
�ۥ���̾�ϡ�hosts �ե�����ޤ��� DNS �� (�����饤�֥��˰�¸���ޤ�)
��Í���ʥۥ���̾�����ɥå��դ����ͷ����Ǥ���
�ͥåȥ������Ȥ������̤ʵ�ˡ�Ϥ���ޤ��󤬡��ͥåȥ��̾��ǧ������ޤ���
�ե��륿�롼��� DNS �˰�¸������ȹ����;�Ϥ�Ƴ�����Ƥ��ޤ��Τǡ�
������ޤ���
.PP
�ۥ���̾�ˤ��ü�� \fBany\fP �������졢0.0.0.0/0 ��ǧ������ޤ�
(��ҤΥޥ����񼰻���)��������� IP ���ɥ쥹�˥ޥå����ޤ���
"any" �������ޥ��������Ū�˻��ꤷ�ޤ��Τǡ�
¾�ξ����Ǥϡ��ۥ���̾�ϥޥ����ȤȤ�˻��ꤹ��ɬ�פ�����ޤ���
�ۥ��Ȥȥޥ������Ф��� "any" �����Ǥ����ΤΡ�
���θ���ˤ����Ƥϡ���̣������ʤ��ʤ�ޤ���
.PP
���ͥե����ޥå� "x\fB/\fPy" �ϡ�
1 �ΥӥåȤ� MSB ���鳫�Ϥ��� y ��Ϣ³����ޥ����������򼨤��ޤ���
��äơ�y ���ͤ� 16 �Ǥ�����ˤϡ�0xffff0000 �ˤʤ�ޤ���
����ܥ�å��� "x \fBmask\fP y" �ϡ�
�ޥ��� y ���ɥå��դ� IP ɽ����
�ޤ��� 0x12345678 �η����� 16 �ʿ��Ǥ��뤳�Ȥ򼨤��ޤ���
�ӥåȥޥ��������� IP ���ɥ쥹�����ӥåȤȡ�
�ѥ��åȤΥ��ɥ쥹�Ȥ�����̩�˥ޥå�����ɬ�פ�����ޤ�;
���ߡ��ޥå��ΰ�̣��ȿž������ˡ�Ϥ���ޤ��󤷡�
�ӥåȥޥ����ˤ��ưפ�ɽ����ǽ�ǤϤʤ�
IP ���ɥ쥹�ϰϤ˥ޥå���������ˡ�⤢��ޤ���
(���Ȥ���ʤ顢�����ޤǼ¸�����ȡ���Ϥ�ī���Ȥϸ����ʤ��Ǥ���)��
.PP
��������������Τɤ��餫�ޤ���ξ�Ԥ� \fBport\fP �ޥå���ޤ��硢
TCP �� UDP �Υѥ��åȤ��Ф��ƤΤ�Ŭ�Ѥ���ޤ���
.\" XXX - "may only be" ? how does this apply to other protocols? will it not match, or will it be ignored?
\fBproto\fP �ޥå��ѥ�᡼����̵����硢
�ɤ���Υץ��ȥ���Υѥ��åȤ���Ӥ���ޤ���
����ϡ�"proto tcp/udp" �������Ǥ���
\fBport\fP ����Ӥ�Ԥ��Ȥ��ˤϡ�
�����ӥ�̾����ӿ��ͤΥݡ����ֹ�Τɤ���Ǥ���ѤǤ��ޤ���
�ݡ��Ȥ���Ӥ�Ԥ��ݡ����ͷ�������ӱ黻�ҤȤȤ�˻��Ѥ����ꡢ
�ݡ����ϰϤ���ꤷ����Ǥ��ޤ���
�ݡ��Ȥ� \fBfrom\fP ���֥������Ȥΰ����Ȥ����о줹���硢
�������ݡ����ֹ�˥ޥå����ޤ���
�ݡ��Ȥ� \fBto\fP ���֥������Ȥΰ����Ȥ����о줹���硢
������ݡ����ֹ�˥ޥå����ޤ���
���ʤ����ϻ�����򻲾Ȥ��Ƥ���������
.PP
\fBall\fP ������ɤϡ��ܼ�Ū�ˡ�
¾�Υޥå��ѥ�᡼����ȼ��ʤ� "from any to any" ��Ʊ����Ǥ���
.PP
�����������������Υޥå��ѥ�᡼���θ�ˡ������ɲäΥѥ�᡼������Ѳ�ǽ�Ǥ�:
.TP
.B with
�����Υѥ��åȤΤߤ������ü��°���˥ޥå�������˻��Ѥ��ޤ���
���̤ˡ�IP ���ץ����¸�ߤ�����˥ޥå�������ˤϡ�\fBwith ipopts\fP
����Ѥ��ޤ���
�����ʥإå����Ǽ����ˤ�û��������ѥ��åȤ˥ޥå�������ˤϡ�
\fBwith short\fP ����Ѥ��ޤ���
���Ҳ����줿�ѥ��åȤ˥ޥå������뤿��ˤϡ�\fBwith frag\fP ����Ѥ��ޤ���
���ˡ�IP ���ץ�����Í�Υե��륿��󥰤˴ؤ��Ƥϡ�
�ƥ��ץ���������ǽ�Ǥ���
.IP
\fBwith\fP ������ɤθ�˥ѥ�᡼����³�������ˡ�
�� \fBnot\fP �ޤ��� \fBno\fP ����������
���ץ����¸�ߤ��ʤ����ˤΤߥե��륿�롼�뤬�ޥå�����褦�ˤǤ��ޤ���
.IP
\fBwith\fP ���Ϣ³���Ƶ��Ҥ��뤳�Ȥ�������ޤ���
�ޤ���������� \fBand\fP ��\fBwith\fP �����˻��Ѥ��뤳�Ȥ��Ǥ��ޤ���
����ϡ����˲���������Τ���Ǥ� ("with ... and ...")��
ʣ���������󤷤��Ȥ������٤Ƥ��ޥå�����Ȥ��ˡ��롼�뤬�ޥå����ޤ���
.\" XXX describe the options more specifically in a separate section
.TP
.B flags
TCP �ե��륿��󥰤ˤ����ƤΤ�Í���Ǥ���
���Ѳ�ǽ�ʥ쥿���ϡ�TCP �إå��ˤ������ǽ�ʥե饰�� 1 �Ĥ�ɽ�����ޤ���
��Ϣ�ϼ����̤�Ǥ�:
.LP
.nf
F - FIN
S - SYN
R - RST
P - PUSH
A - ACK
U - URG
.fi
.IP
�͡��ʥե饰����ܥ���Ȥ߹�碌�ƻ��ѤǤ��ޤ��Τǡ�
"SA" �ϥѥ��å���� SYN-ACK ���Ȥ߹�碌��ɽ�����ޤ���
"SFR" �ʤɤ��Ȥ߹�碌�λ�������¤����ΤϤ���ޤ���
�����Ȥ߹�碌�ϡ���§���äƤ��� TCP �����Ǥ��̾���������ޤ���
�������ʤ��顢�۾���򤱤뤿��ˡ�
�ɤΥե饰���Ф��ƥե��륿��󥰤��Ƥ���Τ��򼨤�ɬ�פ�����ޤ���
���Τ���ˡ��ɤ� TCP �ե饰����Ӥ���Τ�
(���ʤ�����ɤΥե饰����פȹͤ��뤫) �򼨤��ޥ��������Ǥ��ޤ���
����ϡ��ޥå��оݤ� TCP �ե饰����θ�ˡ�"/<flags>" ���դ��뤳�Ȥ�
�¸��Ǥ��ޤ���
�㤨��:
.LP
.nf
... flags S
# "flags S/AUPRFS" �ˤʤꡢSYN �ե饰�֤Τߡ�
# �����ꤵ��Ƥ���ѥ��åȤ˥ޥå����ޤ���
... flags SA
# "flags SA/AUPRFSC" �ˤʤꡢSYN ����� ACK �Υե饰
# �Τߤ����ꤵ��Ƥ���ѥ��åȤ˥ޥå����ޤ���
... flags S/SA
# SYN-ACK ���ȤΤ�����SYN �ե饰�Τߤ����ꤵ��Ƥ���
# �ѥ��åȤˤΤߥޥå����ޤ�������϶��̤Ρֳ�Ω��
# �������ư��Ǥ���"S/SA" �� SYN �� ACK ���Ȥ�
# ��ξ���פ����ꤵ��Ƥ����Τˤϥޥå��֤��ޤ����
# ����"SFP" �ˤϥޥå��֤��ޤ��ס�
.fi
.TP
.B icmp-type
\fBproto icmp\fP �ȤȤ�˻��Ѥ������ˤΤ�Í���Ǥ��ꡢ
\fBflags\fP �ȤȤ�˻��Ѥ��Ƥϡ֤ʤ�ޤ���ס�
¿���Υ����פ����ꡢ���θ����ǧ�������û�̷��䡢
����˴�Ϣ�դ���줿���ͤǻ���Ǥ��ޤ���
�������ƥ��δ�������ߤƺǤ���פʤ�Τ� ICMP ������쥯�ȤǤ���
.SH ������¸
.PP
�ե��륿�롼��������ǽ�ʡ��Ǹ夫�� 2 ���ܤΥѥ�᡼���ϡ�
�ѥ��åȤ���������Ͽ���뤫�ݤ�������ӤɤΤ褦���������¸���뤫�Ǥ���
�ʲ��ξ������¸�Ǥ��ޤ�:
.TP
.B state
�̿����å����Υե����������¸���ޤ���
TCP, UDP, ICMP �γƥѥ��åȤ˴ؤ��ƾ��֤���¸����ޤ���
.TP
.B frags
���Ҳ����줿�ѥ��åȤξ������¸���ޤ���
���ξ���ϡ�������Ҳ�����ݤ˻��Ѥ��ޤ���
.PP
�����˥ޥå�����ѥ��åȤ����̤�����������������ꥹ�Ȥ��̤��ޤ���
.SH ���롼��
�ѥ�᡼���κǸ���Ȥϥե��륿�롼��Ρ֥��롼�ԥ󥰡פ����椷�ޤ���
¾�Υ��롼�פ����ꤵ��ʤ��¤ꡢ
�ǥե���ȤǤϡ����ե��륿�롼��ϥ��롼�� 0 ���֤���ޤ���
��ǥե���ȤΥ��롼�פ˥롼����ɲä���ˤϡ�
���롼�פΡ�Ƭ (head)�פ��������Ȥ������顢���롼�פ򳫻Ϥ��ޤ���
�ѥ��åȤ����롼�פΡ�Ƭ�פΥ롼��˥ޥå������硢
�ե��륿�����Ϥ��Υ��롼�פ��ڤ��ؤ�ꡢ
���Υ롼��򤽤Υ��롼�פΥǥե���ȤȤ��ƻ��Ѥ��ޤ���
\fBquick\fP �� \fBhead\fP �롼��ȤȤ�˻��Ѥ����硢
���Υ��롼�פν����������ޤǤϡ��롼���������ߤ��ޤ���
.PP
����롼��ϡ��������롼�פ�Ƭ�Ǥ��꤫�ġ�
��ǥե���ȥ��롼�פΥ��ФǤ��뤳�Ȥ���ǽ�Ǥ�
(\fBhead\fP �� \fBgroup\fP ��Ʊ��롼�����Ʊ���˻��Ѳ�ǽ�Ǥ�)��
.TP
.B "head <n>"
�������롼�� (�ֹ� n) ��������뤳�Ȥ򼨤��ޤ���
.TP
.B "group <n>"
���Υ롼��򡢥��롼�� 0 �ǤϤʤ������롼�� (�ֹ� n) ���֤����Ȥ򼨤��ޤ���
.SH ������
.PP
\fBlog\fP ���������ޤ��ϥ��ץ����ˤơ��ѥ��åȤΥ�����Ԥ��Ȥ���
�ѥ��åȤΥإå��� \fBipl\fP �ѥ��åȥ����󥰵����ǥХ����˽ñ¤¹ï¿½ï¿½Þ¤ï¿½Þ¤ï¿½ï¿½ï¿½
\fBlog\fP ������ɤ�ľ��ˡ����ν������� (���ν����) ���ѤǤ��ޤ�:
.TP
.B body
�ѥ��åȤ����Ƥκǽ�� 128 �Х��Ȥ򡢥إå��θ�ǥ������뤳�Ȥ򼨤��ޤ���
.TP
.B first
������ "keep" ���ץ����ȶ��˻��Ѥ�����硢
�ܥ��ץ�������ꤹ�뤳�Ȥ򴫤�ޤ���
����ˤ�ꡢ�ȥꥬ�Ȥʤ�ѥ��åȤΤߤ�������ơ�
���θ�˾��־���˥ޥå��������ѥ��åȤ�������ʤ��褦�ˤʤ�ޤ���
.TP
.B or-block
�ʤ�餫����ͳ�ǥե��륿����������ʤ����
(�����ɤ߼�꤬�����٤����ʤ�)��
���Υѥ��åȤ��Ф��뤳�Υ롼��Υ�������� \fBblock\fP �Ǥ��ä��Ȳ��
�����ޤ���
.TP
.B "level <loglevel>"
���Υѥ��åȤξ�������ˡ�
�ɤΥ����ե�����ƥ���ͥ���٤���Ѥ��뤫��
�ޤ��ϥǥե���ȥե�����ƥ��Ǥɤ�ͥ���٤���Ѥ��뤫����ꤷ�ޤ���
��������ˤϡ�ipmon �� -s ���ץ�������Ѥ��ޤ���
.PP
���ΥǥХ����˽ñ¤¹ï¿½ï¿½Þ¤ï¿½ï¿½ì¥³ï¿½ï¿½ï¿½É¤Î¥Õ¥ï¿½ï¿½ï¿½ï¿½Þ¥Ã¥È¤Ë¤Ä¤ï¿½ï¿½Æ¤ï¿½
ipl(4) �򻲾Ȥ��Ƥ���������
���Υ������ɤ߼�ä���������ˤϡ�ipmon(8) ����Ѥ��ޤ���
.SH ������
.PP
\fBquick\fP ���ץ����ϼ��Τ褦�ʥ롼����Ф����Թ礬�ɤ��Ǥ�:
\fC
.nf
block in quick from any to any with ipopts
.fi
.PP
����ϡ�
ɸ��Ū��Ĺ���ǤϤʤ��إå������ (IP ���ץ��������) �ѥ��åȤ˥ޥå�����
������Υ롼�������Ԥ鷺�ˡ�
�ޥå���ȯ���������Ȥȥѥ��åȤ�֥��å����٤����Ȥ�Ͽ���ޤ���
.PP
���Τ褦�ʡַ�³�ץ롼��β��ˤ��:
.LP
.nf
block in from any to any port < 6000
pass in from any to any port >= 6000
block in from any to any port > 6003
.fi
.PP
�ϰ� 6000-6003 �������졢¾�ϵ����ʤ��褦������Ǥ��ޤ���
�ǽ�Υ롼��θ��̤��⡢��³�롼�뤬ͥ�褹�뤳�Ȥ����դ��Ƥ���������
Ʊ�����Ȥ�Ԥ���¾�� (�ưפ�) ��ˡ�ϼ����̤�Ǥ�:
.LP
.nf
block in from any to any port 6000 <> 6003
pass in from any to any port 5999 >< 6004
.fi
.PP
���̤�������뤿��ˤϡ�
"block" ����� "pass" ��ξ���򤳤��˽�ɬ�פ�����ޤ���
�ʤ��ʤ顢"block" ���������˥ޥå����ʤ����Ȥ��̲���̣����櫓�ǤϤʤ���
�롼�뤬���̤�����ʤ����Ȥ��̣�������������Ǥ���
�ݡ��Ȥ�1024̤���Τ�Τ�����ˤϡ����Τ褦�ʥ롼�����Ѥ��ޤ�:
.LP
.nf
pass in quick from any to any port < 1024
.fi
.PP
����ϡ��ǽ�Υ֥��å��������֤�ɬ�פ�����ޤ���
le0/le1/lo0 ����Τ��٤Ƥ�������ѥ��åȤ��������
�ǥե���ȤǤ�����������ѥ��åȤ�֥��å�����
�������롼�פ��������ˤϡ����Τ褦�ˤ��ޤ�:
.LP
.nf
block in all
block in quick on le0 all head 100
block in quick on le1 all head 200
block in quick on lo0 all head 300
.fi
.PP
�����ơ�le0 �� ICMP �ѥ��åȤΤߤ�����ˤϡ����Τ褦�ˤ��ޤ�:
.LP
.nf
pass in proto icmp all group 100
.fi
.PP
le0 �����������ѥ��åȤΤߤ����롼�� 100 �ǽ�������ޤ��Τǡ�
���󥿥ե�����̾����ٻ��ꤹ��ɬ�פ��ʤ����Ȥ����դ��Ƥ���������
Ʊ�ͤˡ����Τ褦�� TCP �ʤɤν�����ʬ��Ǥ��ޤ�:
.LP
.nf
block in proto tcp all head 110 group 100
pass in from any to any port = 23 group 110
.fi
.PP
�ǽ��Ԥ򡢥��롼�פ���Ѥ����˵��Ҥ���ȡ����Τ褦�ˤʤ�ޤ�:
.LP
.nf
pass in on le0 proto tcp from any to any port = telnet
.fi
.PP
"port = telnet" �ȵ��Ҥ��������ˤϡ�"proto tcp" ����ꤹ��ɬ�פ����뤳�Ȥ�
���դ��Ƥ���������
�ʤ��ʤ顢
�ѡ����ϼ��ʤ˴�Ť��ƥ롼����ᤷ��
���ꤵ�줿�ץ��ȥ���ˤ�ä��������ӥ�/�ݡ���̾�򽤾����뤫��Ǥ���
.SH ��Ϣ�ե�����
/dev/ipauth
.br
/dev/ipl
.br
/dev/ipstate
.br
/etc/hosts
.br
/etc/services
.SH ��Ϣ����
ipftest(1), iptest(1), mkfilters(1), ipf(4), ipnat(5), ipf(8), ipfstat(8)