• R/O
  • HTTP
  • SSH
  • HTTPS

iptables: Commit


Commit MetaInfo

Revisión647065eb8c4d8d2e1b0cb305f931cf28293d3065 (tree)
Tiempo2014-05-09 02:47:41
AutorAkihiro MOTOKI <amotoki@gmai...>
CommiterAkihiro MOTOKI

Log Message

Update translations of iptables-extensions.8

Cambiar Resumen

Diferencia incremental

--- a/draft/man8/iptables-extensions.8
+++ b/draft/man8/iptables-extensions.8
@@ -81,7 +81,7 @@ iptables は拡張されたパケットマッチングモジュールを使う
8181 \fB\-\-limit\-iface\-out\fP
8282 アドレス種別のチェックをそのパケットが出力されるインターフェースに限定する。 このオプションは \fBPOSTROUTING\fP, \fBOUTPUT\fP,
8383 \fBFORWARD\fP チェインでのみ利用できる。 \fB\-\-limit\-iface\-in\fP オプションと同時に指定することはできない。
84-.SS "ah (IPv6 の場合)"
84+.SS "ah (IPv6 のみ)"
8585 このモジュールは IPsec パケットの認証ヘッダーのパラメータにマッチする。
8686 .TP
8787 [\fB!\fP] \fB\-\-ahspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
@@ -97,22 +97,19 @@ SPI にマッチする。
9797 .TP
9898 [\fB!\fP] \fB\-\-ahspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
9999 .SS bpf
100-Match using Linux Socket Filter. Expects a BPF program in decimal
101-format. This is the format generated by the \fBnfbpf_compile\fP utility.
100+Linux Socket Filter を使ってマッチを行う。 BPF プログラムを 10 進数形式で指定する。 これは
101+\fBnfbpf_compile\fP ユーティリティにより生成されるフォーマットである。
102102 .TP
103103 \fB\-\-bytecode\fP \fIcode\fP
104-Pass the BPF byte code format (described in the example below).
104+BPF バイトコードフォーマットを渡す (フォーマットについては下記の例で説明)。
105105 .PP
106-The code format is similar to the output of the tcpdump \-ddd command: one
107-line that stores the number of instructions, followed by one line for each
108-instruction. Instruction lines follow the pattern 'u16 u8 u8 u32' in decimal
109-notation. Fields encode the operation, jump offset if true, jump offset if
110-false and generic multiuse field 'K'. Comments are not supported.
106+コードのフォーマットは tcpdump の \-ddd コマンドの出力に似ている。 最初に命令数が入った行が 1 行あり、 1 行 1 命令がこれに続く。
107+命令行は 'u16 u8 u8 u32' のパターンで 10 進数で指定する。 各フィールドは、命令、 true 時のジャンプオフセット、 false
108+時のジャンプオフセット、 汎用で様々な用途に使用するフィールド 'K' である。 コメントはサポートされていない。
111109 .PP
112-For example, to read only packets matching 'ip proto 6', insert the
113-following, without the comments or trailing whitespace:
110+例えば 'ip proto 6' にマッチするパケットのみを読み込むには、以下を挿入すればよい (コムと末尾のホワイトスペースは含めずに)。
114111 .IP
115-4 # number of instructions
112+4 # 命令数
116113 .br
117114 48 0 0 9 # load byte ip\->proto
118115 .br
@@ -122,17 +119,17 @@ following, without the comments or trailing whitespace:
122119 .br
123120 6 0 0 0 # return fail (zero)
124121 .PP
125-You can pass this filter to the bpf match with the following command:
122+このフィルターを bpf マッチに渡すには以下のコマンドのようにする。
126123 .IP
127124 iptables \-A OUTPUT \-m bpf \-\-bytecode '4,48 0 0 9,21 0 1 6,6 0 0 1,6 0 0 0'
128125 \-j ACCEPT
129126 .PP
130-Or instead, you can invoke the nfbpf_compile utility.
127+代わりに、 nfbpf_compile ユーティリティを使う方法もある。
131128 .IP
132129 iptables \-A OUTPUT \-m bpf \-\-bytecode "`nfbpf_compile RAW 'ip proto 6'`" \-j
133130 ACCEPT
134131 .PP
135-You may want to learn more about BPF from FreeBSD's bpf(4) manpage.
132+BPF についてもっと詳しく知るには FreeBSD の bpf(4) manpage を見るといいだろう。
136133 .SS cluster
137134 このモジュールを使うと、負荷分散装置なしで、ゲートウェイとバックエンドの負荷分散クラスターを配備できる。
138135 .PP
@@ -141,7 +138,7 @@ cluster match decides if this node has to handle a packet given the
141138 following options:
142139 .TP
143140 \fB\-\-cluster\-total\-nodes\fP \fInum\fP
144-クラスターの合計ノード数を設定する。
141+クラスターの総ノード数を設定する。
145142 .TP
146143 [\fB!\fP] \fB\-\-cluster\-local\-node\fP \fInum\fP
147144 ローカルノードの数字の ID を設定する。
@@ -405,7 +402,7 @@ TOS に取って代わった。
405402 .TP
406403 [\fB!\fP] \fB\-\-dscp\-class\fP \fIclass\fP
407404 DiffServ クラスにマッチする。 値は BE, EF, AFxx, CSx クラスのいずれかである。 対応する数値に変換される。
408-.SS "dst (IPv6 の場合)"
405+.SS "dst (IPv6 のみ)"
409406 このモジュールは宛先オプションヘッダーのパラメータにマッチする。
410407 .TP
411408 [\fB!\fP] \fB\-\-dst\-len\fP \fIlength\fP
@@ -430,12 +427,12 @@ TCP ECN ECE (ECN Echo) ビットがセットされている場合にマッチす
430427 このモジュールは IPsec パケットの ESP ヘッダーの SPI 値にマッチする。
431428 .TP
432429 [\fB!\fP] \fB\-\-espspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
433-.SS "eui64 (IPv6 の場合)"
430+.SS "eui64 (IPv6 のみ)"
434431 このモジュールは stateless の自動で設定された IPv6 アドレスの EUI\-64 の部分にマッチする。 Ethernet の送信元 MAC
435432 アドレスに基づく EUI\-64 と IPv6 送信元アドレスの下位 64 ビットの比較が行われる。 ただし "Universal/Local"
436433 ビットは比較されない。 このモジュールは他のリンク層フレームにはマッチしない。 このモジュールは \fBPREROUTING\fP, \fBINPUT\fP,
437434 \fBFORWARD\fP チェインでのみ有効である。
438-.SS "frag (IPv6 の場合)"
435+.SS "frag (IPv6 のみ)"
439436 このモジュールはフラグメントヘッダーのパラメータにマッチする。
440437 .TP
441438 [\fB!\fP] \fB\-\-fragid\fP \fIid\fP[\fB:\fP\fIid\fP]
@@ -528,7 +525,7 @@ srcport \-\-hashlimit\-upto 100/sec
528525 バイト/秒によるマッチ
529526 "512kbyte/s を超過するとマッチするが、 1 メガバイトに達するまではマッチせず許可する" \-\-hashlimit\-mode dstip
530527 \-\-hashlimit\-above 512kb/s \-\-hashlimit\-burst 1mb
531-.SS "hbh (IPv6 の場合)"
528+.SS "hbh (IPv6 のみ)"
532529 このモジュールは Hop\-by\-Hop オプションヘッダーのパラメータにマッチする。
533530 .TP
534531 [\fB!\fP] \fB\-\-hbh\-len\fP \fIlength\fP
@@ -548,7 +545,7 @@ srcport \-\-hashlimit\-upto 100/sec
548545 .PP
549546 他のコネクション追跡ヘルパーでも同じルールが適用される。
550547 .RE
551-.SS "hl (IPv6 の場合)"
548+.SS "hl (IPv6 のみ)"
552549 このモジュールは IPv6 ヘッダーの Hop Limit フィールドにマッチする。
553550 .TP
554551 [\fB!\fP] \fB\-\-hl\-eq\fP \fIvalue\fP
@@ -568,7 +565,7 @@ ICMP タイプを指定できる。 タイプ指定には、 数値の ICMP タ
568565 .nf
569566 iptables \-p icmp \-h
570567 .fi
571-.SS "icmp6 (IPv6 の場合)"
568+.SS "icmp6 (IPv6 のみ)"
572569 これらの拡張は `\-\-protocol ipv6\-icmp' または `\-\-protocol icmpv6' が指定された場合に使用でき、
573570 以下のオプションが提供される:
574571 .TP
@@ -586,7 +583,7 @@ ICMPv6 タイプを指定できる。 タイプ指定には、 数値の ICMP \f
586583 .TP
587584 [\fB!\fP] \fB\-\-dst\-range\fP \fIfrom\fP[\fB\-\fP\fIto\fP]
588585 指定された範囲の宛先 IP にマッチする。
589-.SS "ipv6header (IPv6 の場合)"
586+.SS "ipv6header (IPv6 のみ)"
590587 このモジュールは IPv6 拡張ヘッダー、 上位レイヤのヘッダー、もしくはその両方にマッチする。
591588 .TP
592589 \fB\-\-soft\fP
@@ -680,7 +677,7 @@ xt_limit has no negation support \- you will have to use \-m hashlimit !
680677 [\fB!\fP] \fB\-\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
681678 指定された符号なしの mark 値を持つパケットにマッチする (\fImask\fP が指定されると、 比較の前に \fImask\fP との論理積 (AND)
682679 がとられる)。
683-.SS "mh (IPv6 の場合)"
680+.SS "mh (IPv6 のみ)"
684681 この拡張は `\-\-protocol ipv6\-mh' または `\-\-protocol mh' が指定された場合にロードされる。
685682 以下のオプションが提供される。
686683 .TP
@@ -1094,7 +1091,7 @@ iptables \-t raw \-A PREROUTING \-j RPFILTER
10941091 失敗したパケットをドロップするが、ロギングを行わない例
10951092
10961093 iptables \-t raw \-A RPFILTER \-m rpfilter \-\-invert \-j DROP
1097-.SS "rt (IPv6 の場合)"
1094+.SS "rt (IPv6 のみ)"
10981095 IPv6 ルーティングヘッダーに対してマッチする。
10991096 .TP
11001097 [\fB!\fP] \fB\-\-rt\-type\fP \fItype\fP
@@ -1498,7 +1495,7 @@ IP ヘッダーではバイト 2\-3 にトータル長フィールドがある
14981495 .IP
14991496 バイト 0\-3 を読み出し、
15001497 .IP
1501-0xFFFF (バイト 2\-3 に対応) の論理和 (AND) を取り、 その値が範囲 [0x100:0xFFFF] にあるか検査する。
1498+0xFFFF (バイト 2\-3 に対応) の論理積 (AND) を取り、 その値が範囲 [0x100:0xFFFF] にあるか検査する。
15021499 .PP
15031500 例: (もっと実用的な、したがってもっと複雑な例)
15041501 .IP
@@ -1561,12 +1558,11 @@ TCP ペイロードのバイト 8\-12 が 1, 2, 5, 8 のいずれかかを検査
15611558 .\" @TARGET@
15621559 iptables は拡張ターゲットモジュールを使うことができる: 以下のものが、 標準的なディストリビューションに含まれている。
15631560 .SS AUDIT
1564-This target allows to create audit records for packets hitting the target.
1565-It can be used to record accepted, dropped, and rejected packets. See
1566-auditd(8) for additional details.
1561+このターゲットを使うと、このターゲットにヒットしたパケットに対する監査 (audit) レコードを作成することができる。
1562+許可/廃棄/拒否されたパケットを記録するのに使用できる。 詳細については auditd(8) を参照。
15671563 .TP
15681564 \fB\-\-type\fP {\fBaccept\fP|\fBdrop\fP|\fBreject\fP}
1569-Set type of audit record.
1565+監査レコード種別を設定する。
15701566 .PP
15711567 例:
15721568 .IP
@@ -1584,86 +1580,75 @@ particularly useful, if you need to work around old applications such as
15841580 dhcp clients, that do not work well with checksum offloads, but don't want
15851581 to disable checksum offload in your device.
15861582 .SS CLASSIFY
1587-This module allows you to set the skb\->priority value (and thus classify
1588-the packet into a specific CBQ class).
1583+このモジュールを使うと skb\->priority の値を設定できる (その結果、そのパケットを特定の CBQ クラスに分類できる)。
15891584 .TP
15901585 \fB\-\-set\-class\fP \fImajor\fP\fB:\fP\fIminor\fP
1591-Set the major and minor class value. The values are always interpreted as
1592-hexadecimal even if no 0x prefix is given.
1586+メジャークラスとマイナークラスの値を設定する。値は常に 16 進数として解釈される。 0x が前に付いていない場合であっても 16 進数と解釈される。
15931587 .SS "CLUSTERIP (IPv4 の場合)"
1594-This module allows you to configure a simple cluster of nodes that share a
1595-certain IP and MAC address without an explicit load balancer in front of
1596-them. Connections are statically distributed between the nodes in this
1597-cluster.
1588+このモジュールを使うと、 ノードの前段に明示的に負荷分散装置を置かずに、 特定の IP アドレスと MAC
1589+アドレスを共有するノードの簡単なクラスターを構成することができる。 コネクションは、このクラスターのノード間で静的に分散される。
15981590 .TP
15991591 \fB\-\-new\fP
1600-Create a new ClusterIP. You always have to set this on the first rule for a
1601-given ClusterIP.
1592+新しい ClusterIP を作成する。 このオプションは、ここで指定する ClusterIP を使うルールの中で一番最初に設定しなければならない。
16021593 .TP
16031594 \fB\-\-hashmode\fP \fImode\fP
1604-Specify the hashing mode. Has to be one of \fBsourceip\fP,
1605-\fBsourceip\-sourceport\fP, \fBsourceip\-sourceport\-destport\fP.
1595+ハッシュモードを指定する。 \fBsourceip\fP, \fBsourceip\-sourceport\fP,
1596+\fBsourceip\-sourceport\-destport\fP のいずれかでなければならない。
16061597 .TP
16071598 \fB\-\-clustermac\fP \fImac\fP
1608-Specify the ClusterIP MAC address. Has to be a link\-layer multicast address
1599+ClusterIP の MAC アドレスを指定する。 リンク層のマルチキャストアドレスでなければならない。
16091600 .TP
16101601 \fB\-\-total\-nodes\fP \fInum\fP
1611-Number of total nodes within this cluster.
1602+このクラスターの総ノード数。
16121603 .TP
16131604 \fB\-\-local\-node\fP \fInum\fP
1614-Local node number within this cluster.
1605+このクラスターのローカルノード番号。
16151606 .TP
16161607 \fB\-\-hash\-init\fP \fIrnd\fP
1617-Specify the random seed used for hash initialization.
1608+ハッシュの初期化に使用される乱数シード値を指定する。
16181609 .SS CONNMARK
16191610 このモジュールは、 コネクションに関連付けられた netfilter の mark 値を設定する。 mark は 32 ビット幅である。
16201611 .TP
16211612 \fB\-\-set\-xmark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
1622-Zero out the bits given by \fImask\fP and XOR \fIvalue\fP into the ctmark.
1613+\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と ctmark の XOR を取る。
16231614 .TP
16241615 \fB\-\-save\-mark\fP [\fB\-\-nfmask\fP \fInfmask\fP] [\fB\-\-ctmask\fP \fIctmask\fP]
1625-Copy the packet mark (nfmark) to the connection mark (ctmark) using the
1626-given masks. The new nfmark value is determined as follows:
1616+指定されたマスクを使って、 パケットマーク (nfmark) をコネクションマーク (ctmark) にコピーする。 新しい ctmark
1617+値は以下のように決定される。
16271618 .IP
16281619 ctmark = (ctmark & ~ctmask) ^ (nfmark & nfmask)
16291620 .IP
1630-i.e. \fIctmask\fP defines what bits to clear and \fInfmask\fP what bits of the
1631-nfmark to XOR into the ctmark. \fIctmask\fP and \fInfmask\fP default to
1632-0xFFFFFFFF.
1621+\fIctmask\fP はどのビットをクリアするかを規定し、 \fInfmask\fP は nfmark のどのビットを ctmark と XOR
1622+するかを規定する。 \fIctmask\fP と \fInfmask\fP のデフォルト値は 0xFFFFFFFF である。
16331623 .TP
16341624 \fB\-\-restore\-mark\fP [\fB\-\-nfmask\fP \fInfmask\fP] [\fB\-\-ctmask\fP \fIctmask\fP]
1635-Copy the connection mark (ctmark) to the packet mark (nfmark) using the
1636-given masks. The new ctmark value is determined as follows:
1625+指定されたマスクを使って、 コネクションマーク (ctmark) をパケットマーク (nfmark) にコピーする。 新しい nfmark
1626+値は以下のように決定される。
16371627 .IP
16381628 nfmark = (nfmark & ~\fInfmask\fP) ^ (ctmark & \fIctmask\fP);
16391629 .IP
1640-i.e. \fInfmask\fP defines what bits to clear and \fIctmask\fP what bits of the
1641-ctmark to XOR into the nfmark. \fIctmask\fP and \fInfmask\fP default to
1642-0xFFFFFFFF.
1630+\fInfmask\fP はどのビットをクリアするかを規定し、 \fIctmask\fP は ctmark のどのビットを nfmark と XOR
1631+するかを規定する。 \fIctmask\fP と \fInfmask\fP のデフォルト値は 0xFFFFFFFF である。
16431632 .IP
1644-\fB\-\-restore\-mark\fP is only valid in the \fBmangle\fP table.
1633+\fB\-\-restore\-mark\fP は \fBmangle\fP テーブルでのみ有効である。
16451634 .PP
1646-The following mnemonics are available for \fB\-\-set\-xmark\fP:
1635+以下の簡易表現が \fB\-\-set\-xmark\fP の代わりに利用できる。
16471636 .TP
16481637 \fB\-\-and\-mark\fP \fIbits\fP
1649-Binary AND the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark
1650-0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP.)
1638+ctmark と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-xmark 0/\fP\fIinvbits\fP の簡易表現、
1639+\fIinvbits\fP は \fIbits\fP のビット単位の否定である)。
16511640 .TP
16521641 \fB\-\-or\-mark\fP \fIbits\fP
1653-Binary OR the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
1654-\fIbits\fP\fB/\fP\fIbits\fP.)
1642+ctmark と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/\fP\fIbits\fP の簡易表現)。
16551643 .TP
16561644 \fB\-\-xor\-mark\fP \fIbits\fP
1657-Binary XOR the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
1658-\fIbits\fP\fB/0\fP.)
1645+ctmark と \fIbits\fP のビット XOR を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/0\fP の簡易表現)。
16591646 .TP
16601647 \fB\-\-set\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
1661-Set the connection mark. If a mask is specified then only those bits set in
1662-the mask are modified.
1648+コネクションマークを設定する。 mask が指定された場合、 mask で指定されたビットだけが変更される。
16631649 .TP
16641650 \fB\-\-save\-mark\fP [\fB\-\-mask\fP \fImask\fP]
1665-Copy the nfmark to the ctmark. If a mask is specified, only those bits are
1666-copied.
1651+nfmark を ctmark へコピーする。 mask が指定された場合、そのビットだけがコピーされる。
16671652 .TP
16681653 \fB\-\-restore\-mark\fP [\fB\-\-mask\fP \fImask\fP]
16691654 ctmark を nfmark にコピーする。 mask が指定されると、 指定されたビットだけがコピーされる。 \fBmangle\fP
@@ -1690,11 +1675,11 @@ the packet, which is then used by the conntrack core when initializing a new
16901675 ct entry. This target is thus only valid in the "raw" table.
16911676 .TP
16921677 \fB\-\-notrack\fP
1693-Disables connection tracking for this packet.
1678+このパケットに対するコネクション追跡を無効にする。
16941679 .TP
16951680 \fB\-\-helper\fP \fIname\fP
1696-Use the helper identified by \fIname\fP for the connection. This is more
1697-flexible than loading the conntrack helper modules with preset ports.
1681+\fIname\fP で指定されるヘルパーをこのコネクションで使用する。 この方法は、あらかじめ設定したポートに対して conntrack
1682+ヘルパーモジュールをロードするよりも柔軟性がある。
16981683 .TP
16991684 \fB\-\-ctevents\fP \fIevent\fP[\fB,\fP...]
17001685 Only generate the specified conntrack events for this connection. Possible
@@ -1728,29 +1713,25 @@ available at /proc/sys/net/netfilter/nf_conntrack_*_timeout_*.
17281713 それ以降のカーネル (>= 2.6.11\-rc1) には複数の範囲を NAT する機能は存在しない。
17291714 .TP
17301715 \fB\-\-random\fP
1731-If option \fB\-\-random\fP is used then port mapping will be randomized (kernel
1732->= 2.6.22).
1716+\fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.22 以降)。
17331717 .TP
17341718 \fB\-\-persistent\fP
1735-Gives a client the same source\-/destination\-address for each connection.
1736-This supersedes the SAME target. Support for persistent mappings is
1737-available from 2.6.29\-rc2.
1719+クライアントの各コネクションに同じ送信元アドレス/宛先アドレスを割り当てる。 これは SAME ターゲットよりも優先される。 persistent
1720+マッピングのサポートは 2.6.29\-rc2 以降で利用可能である。
17381721 .TP
1739-IPv6 support available since Linux kernels >= 3.7.
1740-.SS "DNPT (IPv6 の場合)"
1741-Provides stateless destination IPv6\-to\-IPv6 Network Prefix Translation (as
1742-described by RFC 6296).
1722+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
1723+.SS "DNPT (IPv6 のみ)"
1724+(RFC 6296 で説明されている) ステートレス IPv6\-to\-IPv6 宛先ネットワークプレフィックス変換を提供する。
17431725 .PP
1744-You have to use this target in the \fBmangle\fP table, not in the \fBnat\fP
1745-table. It takes the following options:
1726+このターゲットは \fBnat\fP テーブルではなく \fBmangle\fP テーブルで使わなければならない。 以下のオプションを取る。
17461727 .TP
17471728 \fB\-\-src\-pfx\fP [\fIprefix/\fP\fIlength]\fP
1748-Set source prefix that you want to translate and length
1729+変換を行う送信元プレフィックスとその長さを設定する。
17491730 .TP
17501731 \fB\-\-dst\-pfx\fP [\fIprefix/\fP\fIlength]\fP
1751-Set destination prefix that you want to use in the translation and length
1732+変換を行う宛先プレフィックスとその長さを設定する。
17521733 .PP
1753-You have to use the SNPT target to undo the translation. Example:
1734+変換を取り消すには SNPT ターゲットを使わなければならない。 例:
17541735 .IP
17551736 ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0 \-j SNPT
17561737 \-\-src\-pfx fd00::/64 \-\-dst\-pfx 2001:e20:2000:40f::/64
@@ -1758,12 +1739,11 @@ ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0 \-j SNPT
17581739 ip6tables \-t mangle \-I PREROUTING \-i wlan0 \-d 2001:e20:2000:40f::/64 \-j DNPT
17591740 \-\-src\-pfx 2001:e20:2000:40f::/64 \-\-dst\-pfx fd00::/64
17601741 .PP
1761-You may need to enable IPv6 neighbor proxy:
1742+IPv6 neighbor proxy を有効にする必要があるかもしれない。
17621743 .IP
17631744 sysctl \-w net.ipv6.conf.all.proxy_ndp=1
17641745 .PP
1765-You also have to use the \fBNOTRACK\fP target to disable connection tracking
1766-for translated flows.
1746+また、変換されたフローに対するコネクション追跡を無効にするには \fBNOTRACK\fP ターゲットを使用する必要がある。
17671747 .SS DSCP
17681748 このターゲットは、 IPv4 パケットの TOS ヘッダーにある DSCP ビットの値の書き換えを可能にする。 これはパケットを操作するので、
17691749 mangle テーブルでのみ使用できる。
@@ -1779,23 +1759,21 @@ DSCP フィールドの DiffServ クラスを設定する。
17791759 \fB\-\-ecn\-tcp\-remove\fP
17801760 TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。 当然、 \fB\-p tcp\fP
17811761 オプションとの組合わせでのみ使用できる。
1782-.SS "HL (IPv6 の場合)"
1783-This is used to modify the Hop Limit field in IPv6 header. The Hop Limit
1784-field is similar to what is known as TTL value in IPv4. Setting or
1785-incrementing the Hop Limit field can potentially be very dangerous, so it
1786-should be avoided at any cost. This target is only valid in \fBmangle\fP table.
1762+.SS "HL (IPv6 のみ)"
1763+このターゲットを使うと IPv6 ヘッダーの Hop Limit フィールドを変更することができる。 Hop Limit フィールドは IPv4 の
1764+TTL 値と同じようなものである。 Hop Limit フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。
1765+したがって、可能な限り避けるべきである。 このターゲットは \fBmangle\fP テーブルでのみ有効である。
17871766 .PP
1788-\fBDon't ever set or increment the value on packets that leave your local
1789-network!\fP
1767+\fB決してローカルネットワーク内に留まるパケットのフィールド値を設定したり増やしたりしないこと!\fP
17901768 .TP
17911769 \fB\-\-hl\-set\fP \fIvalue\fP
1792-Set the Hop Limit to `value'.
1770+Hop Limit を `value' に設定する。
17931771 .TP
17941772 \fB\-\-hl\-dec\fP \fIvalue\fP
1795-Decrement the Hop Limit `value' times.
1773+Hop Limit を `value' 回減算する。
17961774 .TP
17971775 \fB\-\-hl\-inc\fP \fIvalue\fP
1798-Increment the Hop Limit `value' times.
1776+Hop Limit を `value' 回加算する。
17991777 .SS HMARK
18001778 Like MARK, i.e. set the fwmark, but the mark is calculated from hashing
18011779 packet selector at choice. You have also to specify the mark range and,
@@ -1842,7 +1820,7 @@ An 8 bit field with layer 4 protocol number.
18421820 \fB\-\-hmark\-rnd\fP \fIvalue\fP
18431821 A 32 bit random custom value to feed hash calculation.
18441822 .PP
1845-\fIExamples:\fP
1823+\fI例\fP:
18461824 .PP
18471825 iptables \-t mangle \-A PREROUTING \-m conntrack \-\-ctstate NEW
18481826 \-j HMARK \-\-hmark\-tuple ct,src,dst,proto \-\-hmark\-offset 10000
@@ -1912,9 +1890,8 @@ echo netfilter\-ssh >/sys/class/leds/\fIledname\fP/trigger
19121890 ターゲットを指定する。
19131891 .TP
19141892 \fB\-\-log\-level\fP \fIlevel\fP
1915-Level of logging, which can be (system\-specific) numeric or a mnemonic.
1916-Possible values are (in decreasing order of priority): \fBemerg\fP, \fBalert\fP,
1917-\fBcrit\fP, \fBerror\fP, \fBwarning\fP, \fBnotice\fP, \fBinfo\fP or \fBdebug\fP.
1893+ロギングレベル。 (システム固有の) 数値かシンボル名を指定する。 指定できる値は (優先度が高い順に) \fBemerg\fP, \fBalert\fP,
1894+\fBcrit\fP, \fBerror\fP, \fBwarning\fP, \fBnotice\fP, \fBinfo\fP, \fBdebug\fP である。
19181895 .TP
19191896 \fB\-\-log\-prefix\fP \fIprefix\fP
19201897 指定したプレフィックスをログメッセージの前に付ける。
@@ -1931,35 +1908,31 @@ TCP パケットヘッダーのオプションをログに記録する。
19311908 IP/IPv6 パケットヘッダーのオプションをログに記録する。
19321909 .TP
19331910 \fB\-\-log\-uid\fP
1934-Log the userid of the process which generated the packet.
1911+パケットを生成したプロセスのユーザー ID をログに記録する。
19351912 .SS MARK
1936-This target is used to set the Netfilter mark value associated with the
1937-packet. It can, for example, be used in conjunction with routing based on
1938-fwmark (needs iproute2). If you plan on doing so, note that the mark needs
1939-to be set in the PREROUTING chain of the mangle table to affect routing.
1940-The mark field is 32 bits wide.
1913+このターゲットを使うと、 そのパケットに関連付けられる Netfilter マーク値を設定する。 例えば、 fwmark に基づくルーティング
1914+(iproute2 が必要) と組み合わせて使うことができる。 そうする場合には、 ルーティング時に考慮されるようにするには、 mangle テーブルの
1915+PREROUTING チェインでマークを設定する必要がある。 マークフィールドは 32 ビット幅である。
19411916 .TP
19421917 \fB\-\-set\-xmark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
1943-Zeroes out the bits given by \fImask\fP and XORs \fIvalue\fP into the packet mark
1944-("nfmark"). If \fImask\fP is omitted, 0xFFFFFFFF is assumed.
1918+\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と packet mark ("nfmark") の XOR を取る。
1919+\fImask\fP が省略された場合は 0xFFFFFFFF とみなされる。
19451920 .TP
19461921 \fB\-\-set\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
1947-Zeroes out the bits given by \fImask\fP and ORs \fIvalue\fP into the packet
1948-mark. If \fImask\fP is omitted, 0xFFFFFFFF is assumed.
1922+\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と packet mark の OR を取る。 \fImask\fP が省略された場合は
1923+0xFFFFFFFF とみなされる。
19491924 .PP
1950-The following mnemonics are available:
1925+以下の簡易表現が利用できる。
19511926 .TP
19521927 \fB\-\-and\-mark\fP \fIbits\fP
1953-Binary AND the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark
1954-0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP.)
1928+nfmark と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-xmark 0/\fP\fIinvbits\fP の簡易表現、
1929+\fIinvbits\fP は \fIbits\fP のビット単位の否定である)。
19551930 .TP
19561931 \fB\-\-or\-mark\fP \fIbits\fP
1957-Binary OR the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
1958-\fIbits\fP\fB/\fP\fIbits\fP.)
1932+nfmark と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/\fP\fIbits\fP の簡易表現)。
19591933 .TP
19601934 \fB\-\-xor\-mark\fP \fIbits\fP
1961-Binary XOR the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
1962-\fIbits\fP\fB/0\fP.)
1935+nfmark と \fIbits\fP のビット XOR を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/0\fP の簡易表現)。
19631936 .SS MASQUERADE
19641937 このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP チェインのみで有効である。 動的割り当て IP (ダイヤルアップ)
19651938 コネクションの場合にのみ使うべきである。 固定 IP アドレスならば、 SNAT ターゲットを使うべきである。 マスカレーディングは、
@@ -1972,27 +1945,24 @@ Binary XOR the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
19721945 ルールがプロトコルとして \fBtcp\fP, \fBudp\fP, \fBdccp\fP, \fBsctp\fP を指定している場合にのみ有効である。
19731946 .TP
19741947 \fB\-\-random\fP
1975-Randomize source port mapping If option \fB\-\-random\fP is used then port
1976-mapping will be randomized (kernel >= 2.6.21).
1948+送信元ポートのマッピングをランダム化する。 \fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル
1949+2.6.21 以降)。
19771950 .TP
1978-IPv6 support available since Linux kernels >= 3.7.
1951+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
19791952 .SS "MIRROR (IPv4 の場合)"
19801953 実験的なデモンストレーション用のターゲットであり、 IP ヘッダーの送信元と宛先フィールドを入れ換え、 パケットを再送信するものである。 これは
19811954 \fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインと、 これらのチェインから呼び出される
19821955 ユーザー定義チェインだけで有効である。 ループ等の問題を回避するため、 外部に送られるパケットは
19831956 いかなるパケットフィルタリングチェイン・コネクション追跡・NAT からも 監視\fBされない\fP。
19841957 .SS NETMAP
1985-This target allows you to statically map a whole network of addresses onto
1986-another network of addresses. It can only be used from rules in the \fBnat\fP
1987-table.
1958+このターゲットを使うと、あるアドレスネットワーク全体を別のネットワークアドレスに静的にマッピングできる。 このターゲットは \fBnat\fP
1959+テーブルでルールでのみ使用できる。
19881960 .TP
19891961 \fB\-\-to\fP \fIaddress\fP[\fB/\fP\fImask\fP]
1990-Network address to map to. The resulting address will be constructed in the
1991-following way: All 'one' bits in the mask are filled in from the new
1992-`address'. All bits that are zero in the mask are filled in from the
1993-original address.
1962+マッピング先のネットワークアドレス。 変換後のアドレスは以下のようにして構築される。 mask で '1' になっているビットは新しいアドレスが使われ、
1963+mask で '0' になっているビットは元のアドレスが使われる。
19941964 .TP
1995-IPv6 support available since Linux kernels >= 3.7.
1965+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
19961966 .SS NFLOG
19971967 このターゲットは、 マッチしたパケットをログに記録する機能を提供する。 このターゲットがルールに設定されると、 Linux
19981968 カーネルはそのログに記録するためにそのパケットをロードされたロギングバックエンドに渡す。 このターゲットは通常は nfnetlink_log
@@ -2016,43 +1986,35 @@ IPv6 support available since Linux kernels >= 3.7.
20161986 ユーザー空間にパケットを送信する前に、カーネル内部のキューに入れるパケット数 (nfnetlink_log の場合のみ利用できる)。
20171987 大きめの値を指定するほどパケット単位のオーバヘッドは少なくなるが、 パケットがユーザー空間に届くまでの遅延が大きくなる。 デフォルト値は 1 である。
20181988 .SS NFQUEUE
2019-This target passes the packet to userspace using the \fBnfnetlink_queue\fP
2020-handler. The packet is put into the queue identified by its 16\-bit queue
2021-number. Userspace can inspect and modify the packet if desired. Userspace
2022-must then drop or reinject the packet into the kernel. Please see
2023-libnetfilter_queue for details. \fBnfnetlink_queue\fP was added in Linux
2024-2.6.14. The \fBqueue\-balance\fP option was added in Linux 2.6.31,
2025-\fBqueue\-bypass\fP in 2.6.39.
1989+このターゲットは、 \fBnfnetlink_queue\fP ハンドラーを使ってそのパケットをユーザー空間に渡す。 パケットは 16
1990+ビットのキュー番号で指定されたキューに入れられる。 ユーザー空間では好きなようにパケットを検査し変更できる。
1991+ユーザー空間側では、必ずそのパケットを破棄するかカーネルに戻すかのどちらかをしなければならない。 詳細は libnetfilter_queue
1992+を参照のこと。
1993+\fBnfnetlink_queue\fP は Linux 2.6.14 で追加された。 \fBqueue\-balance\fP オプションは Linux
1994+2.6.31 で、 \fBqueue\-bypass\fP は Linux 2.6.39 で追加された。
20261995 .TP
20271996 \fB\-\-queue\-num\fP \fIvalue\fP
2028-This specifies the QUEUE number to use. Valid queue numbers are 0 to
2029-65535. The default value is 0.
1997+使用する QUEUE 番号を指定する。 有効なキュー番号は 0 から 65535 である。 デフォルトは 0 である。
20301998 .PP
20311999 .TP
20322000 \fB\-\-queue\-balance\fP \fIvalue\fP\fB:\fP\fIvalue\fP
2033-This specifies a range of queues to use. Packets are then balanced across
2034-the given queues. This is useful for multicore systems: start multiple
2035-instances of the userspace program on queues x, x+1, .. x+n and use
2036-"\-\-queue\-balance \fIx\fP\fB:\fP\fIx+n\fP". Packets belonging to the same connection
2037-are put into the same nfqueue.
2001+使用するキューの範囲を指定する。 パケットは指定された範囲のキューに分散される。 これはマルチコアシステムで有用である。
2002+ユーザー空間プログラムの複数インスタンスをキュー x, x+1, .. x+n で開始し、 "\-\-queue\-balance
2003+\fIx\fP\fB:\fP\fIx+n\fP" を使用する。 同じコネクションに所属するパケットは同じ nfqueue に入れられる。
20382004 .PP
20392005 .TP
20402006 \fB\-\-queue\-bypass\fP
2041-By default, if no userspace program is listening on an NFQUEUE, then all
2042-packets that are to be queued are dropped. When this option is used, the
2043-NFQUEUE rule behaves like ACCEPT instead, and the packet will move on to the
2044-next table.
2007+デフォルトでは、 どのユーザー空間プログラムも NFQUEUE をリッスンしていない場合、 キューされるはずのすべてのパケットが破棄される。
2008+このオプションを使うと、 NFQUEUE ルールは ACCEPT のような動作となり、 パケットは次のテーブルに進む。
20452009 .PP
20462010 .TP
20472011 \fB\-\-queue\-cpu\-fanout\fP
2048-Available starting Linux kernel 3.10. When used together with
2049-\fB\-\-queue\-balance\fP this will use the CPU ID as an index to map packets to
2050-the queues. The idea is that you can improve performance if there's a queue
2051-per CPU. This requires \fB\-\-queue\-balance\fP to be specified.
2012+Linux カーネル 3.10 以降で利用可能。 \fB\-\-queue\-balance\fP
2013+とともに使用されると、このオプションはパケットをキューにマッピングする際のインデックスとして CPU ID を使用する。 これは、 CPU
2014+ごとにキューがある場合に性能を向上させようというものである。 このオプションを使うには \fB\-\-queue\-balance\fP を指定する必要がある。
20522015 .SS NOTRACK
2053-This extension disables connection tracking for all packets matching that
2054-rule. It is equivalent with \-j CT \-\-notrack. Like CT, NOTRACK can only be
2055-used in the \fBraw\fP table.
2016+このターゲットを使うと、そのルールにマッチした全てのパケットでコネクション追跡が無効になる。 これは \-j CT \-\-notrack と等価である。
2017+CT と同様、 NOTRACK は \fBraw\fP テーブルでのみ使用できる。
20562018 .SS RATEEST
20572019 The RATEEST target collects statistics, performs rate estimation calculation
20582020 and saves the results for later evaluation using the \fBrateest\fP match.
@@ -2077,11 +2039,10 @@ Rate measurement averaging time constant.
20772039 ルールがプロトコルとして \fBtcp\fP, \fBudp\fP, \fBdccp\fP, \fBsctp\fP を指定している場合にのみ有効である。
20782040 .TP
20792041 \fB\-\-random\fP
2080-If option \fB\-\-random\fP is used then port mapping will be randomized (kernel
2081->= 2.6.22).
2042+\fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.22 以降)。
20822043 .TP
2083-IPv6 support available starting Linux kernels >= 3.7.
2084-.SS "REJECT (IPv6 の場合)"
2044+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
2045+.SS "REJECT (IPv6 のみ)"
20852046 マッチしたパケットの応答としてエラーパケットを送信するために使われる。
20862047 エラーパケットを送らなければ、 \fBDROP\fP と同じであり、 TARGET を終了し、
20872048 ルールの探索を終了する。 このターゲットは、 \fBINPUT\fP, \fBFORWARD\fP,
@@ -2175,32 +2136,27 @@ the \fBmangle\fP table). The mark is 32 bits wide.
21752136 する機能は存在しない。
21762137 .TP
21772138 \fB\-\-random\fP
2178-If option \fB\-\-random\fP is used then port mapping will be randomized (kernel
2179->= 2.6.21).
2139+\fB\-\-random\fP オプションが使用されると、ポートマッピングはランダム化される (カーネル 2.6.21 以降)。
21802140 .TP
21812141 \fB\-\-persistent\fP
2182-Gives a client the same source\-/destination\-address for each connection.
2183-This supersedes the SAME target. Support for persistent mappings is
2184-available from 2.6.29\-rc2.
2142+クライアントの各コネクションに同じ送信元アドレス/宛先アドレスを割り当てる。 これは SAME ターゲットよりも優先される。 persistent
2143+マッピングのサポートは 2.6.29\-rc2 以降で利用可能である。
21852144 .PP
2186-Kernels prior to 2.6.36\-rc1 don't have the ability to \fBSNAT\fP in the
2187-\fBINPUT\fP chain.
2145+2.6.36\-rc1 より前のカーネルでは \fBINPUT\fP チェインで \fBSNAT\fP を使用できない。
21882146 .TP
2189-IPv6 support available since Linux kernels >= 3.7.
2190-.SS "SNPT (IPv6 の場合)"
2191-Provides stateless source IPv6\-to\-IPv6 Network Prefix Translation (as
2192-described by RFC 6296).
2147+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
2148+.SS "SNPT (IPv6 のみ)"
2149+(RFC 6296 で説明されている) ステートレス IPv6\-to\-IPv6 送信元ネットワークプレフィックス変換を提供する。
21932150 .PP
2194-You have to use this target in the \fBmangle\fP table, not in the \fBnat\fP
2195-table. It takes the following options:
2151+このターゲットは \fBnat\fP テーブルではなく \fBmangle\fP テーブルで使わなければならない。 以下のオプションを取る。
21962152 .TP
21972153 \fB\-\-src\-pfx\fP [\fIprefix/\fP\fIlength]\fP
2198-Set source prefix that you want to translate and length
2154+変換を行う送信元プレフィックスとその長さを設定する。
21992155 .TP
22002156 \fB\-\-dst\-pfx\fP [\fIprefix/\fP\fIlength]\fP
2201-Set destination prefix that you want to use in the translation and length
2157+変換を行う宛先プレフィックスとその長さを設定する。
22022158 .PP
2203-You have to use the DNPT target to undo the translation. Example:
2159+変換を取り消すには DNPT ターゲットを使わなければならない。 例:
22042160 .IP
22052161 ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0 \-j SNPT
22062162 \-\-src\-pfx fd00::/64 \-\-dst\-pfx 2001:e20:2000:40f::/64
@@ -2208,12 +2164,11 @@ ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0 \-j SNPT
22082164 ip6tables \-t mangle \-I PREROUTING \-i wlan0 \-d 2001:e20:2000:40f::/64 \-j DNPT
22092165 \-\-src\-pfx 2001:e20:2000:40f::/64 \-\-dst\-pfx fd00::/64
22102166 .PP
2211-You may need to enable IPv6 neighbor proxy:
2167+IPv6 neighbor proxy を有効にする必要があるかもしれない。
22122168 .IP
22132169 sysctl \-w net.ipv6.conf.all.proxy_ndp=1
22142170 .PP
2215-You also have to use the \fBNOTRACK\fP target to disable connection tracking
2216-for translated flows.
2171+また、変換されたフローに対するコネクション追跡を無効にするには \fBNOTRACK\fP ターゲットを使用する必要がある。
22172172 .SS TCPMSS
22182173 このターゲットを用いると、 TCP の SYN パケットの MSS 値を書き換え、 そのコネクションでの最大サイズを制御できる (通常は、
22192174 送信インターフェースの MTU から IPv4 では 40 を、 IPv6 では 60 を引いた値に制限する)。 もちろん \fB\-p tcp\fP
@@ -2251,64 +2206,56 @@ IP address.
22512206 .PP
22522207 これらのオプションはどちらか 1 つしか指定できない。
22532208 .SS TCPOPTSTRIP
2254-This target will strip TCP options off a TCP packet. (It will actually
2255-replace them by NO\-OPs.) As such, you will need to add the \fB\-p tcp\fP
2256-parameters.
2209+このターゲットは TCP パケットから TCP オプションを削除する (実際には TCPオプションを NO\-OP で置き換える)。
2210+このターゲットを使うには \fB\-p tcp\fP パラメーターを使う必要があるだろう。
22572211 .TP
22582212 \fB\-\-strip\-options\fP \fIoption\fP[\fB,\fP\fIoption\fP...]
2259-Strip the given option(s). The options may be specified by TCP option number
2260-or by symbolic name. The list of recognized options can be obtained by
2261-calling iptables with \fB\-j TCPOPTSTRIP \-h\fP.
2213+指定されたオプション (複数可) を削除する。 オプションは TCP オプション番号かシンボル名で指定する。 iptables を \fB\-j
2214+TCPOPTSTRIP \-h\fP で呼び出すと、指定できるオプションのシンボル名を取得できる。
22622215 .SS TEE
2263-The \fBTEE\fP target will clone a packet and redirect this clone to another
2264-machine on the \fBlocal\fP network segment. In other words, the nexthop must be
2265-the target, or you will have to configure the nexthop to forward it further
2266-if so desired.
2216+\fBTEE\fP ターゲットは、 パケットのクローンを作成し、
2217+クローンしたパケットを\fBローカル\fPネットワークセグメントにある別のマシンにリダイレクトする。
2218+言い換えると、ネクストホップがターゲットでなければならないということだ。
2219+つまり、必要に応じてネクストホップがさらにパケットを転送するように設定する必要があるということだ。
22672220 .TP
22682221 \fB\-\-gateway\fP \fIipaddr\fP
2269-Send the cloned packet to the host reachable at the given IP address. Use
2270-of 0.0.0.0 (for IPv4 packets) or :: (IPv6) is invalid.
2222+クローンしたパケットを指定した IP アドレスで届くホストに送信する。 (IPv4 の場合) 0.0.0.0、 (IPv6 の場合) ::
2223+は無効である。
22712224 .PP
2272-To forward all incoming traffic on eth0 to an Network Layer logging box:
2225+eth0 に届いたすべての入力トラフィックをネットワーク層のロギングボックスに転送する。
22732226 .PP
22742227 \-t mangle \-A PREROUTING \-i eth0 \-j TEE \-\-gateway 2001:db8::1
22752228 .SS TOS
2276-This module sets the Type of Service field in the IPv4 header (including the
2277-"precedence" bits) or the Priority field in the IPv6 header. Note that TOS
2278-shares the same bits as DSCP and ECN. The TOS target is only valid in the
2279-\fBmangle\fP table.
2229+このモジュールは IPv4 ヘッダーの Type of Service フィールド (上位ビットも含む) や IPv6 ヘッダーの Priority
2230+フィールドを設定する。 TOS は DSCP と ECN と同じビットを共有する点に注意すること。 TOS ターゲットは \fBmangle\fP
2231+テーブルでのみ有効である。
22802232 .TP
22812233 \fB\-\-set\-tos\fP \fIvalue\fP[\fB/\fP\fImask\fP]
2282-Zeroes out the bits given by \fImask\fP (see NOTE below) and XORs \fIvalue\fP into
2283-the TOS/Priority field. If \fImask\fP is omitted, 0xFF is assumed.
2234+\fImask\fP で指定されたビットを 0 にし (下の「注意」を参照)、 \fIvalue\fP と TOS/Priority フィールド の XOR
2235+を取る。 \fImask\fP が省略された場合は 0xFF とみなされる。
22842236 .TP
22852237 \fB\-\-set\-tos\fP \fIsymbol\fP
2286-You can specify a symbolic name when using the TOS target for IPv4. It
2287-implies a mask of 0xFF (see NOTE below). The list of recognized TOS names
2288-can be obtained by calling iptables with \fB\-j TOS \-h\fP.
2238+IPv4 の TOS ターゲットを使用する際にはシンボル名を指定することができる。 暗黙のうち 0xFF が mask として使用される
2239+(下の「注意」を参照)。 使用できる TOS 名のリストは iptables を \fB\-j TOS \-h\fP で呼び出すと取得できる。
22892240 .PP
2290-The following mnemonics are available:
2241+以下の簡易表現が利用できる。
22912242 .TP
22922243 \fB\-\-and\-tos\fP \fIbits\fP
2293-Binary AND the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos
2294-0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP. See NOTE
2295-below.)
2244+TOS 値と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-tos 0/\fP\fIinvbits\fP の簡易表現、
2245+\fIinvbits\fP は \fIbits\fP のビット単位の否定である。 下の「注意」を参照)
22962246 .TP
22972247 \fB\-\-or\-tos\fP \fIbits\fP
2298-Binary OR the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos\fP
2299-\fIbits\fP\fB/\fP\fIbits\fP. See NOTE below.)
2248+TOS 値と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-tos\fP \fIbits\fP\fB/\fP\fIbits\fP
2249+の簡易表現。下の「注意」を参照)
23002250 .TP
23012251 \fB\-\-xor\-tos\fP \fIbits\fP
2302-Binary XOR the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos\fP
2303-\fIbits\fP\fB/0\fP. See NOTE below.)
2304-.PP
2305-NOTE: In Linux kernels up to and including 2.6.38, with the exception of
2306-longterm releases 2.6.32 (>=.42), 2.6.33 (>=.15), and 2.6.35
2307-(>=.14), there is a bug whereby IPv6 TOS mangling does not behave as
2308-documented and differs from the IPv4 version. The TOS mask indicates the
2309-bits one wants to zero out, so it needs to be inverted before applying it to
2310-the original TOS field. However, the aformentioned kernels forgo the
2311-inversion which breaks \-\-set\-tos and its mnemonics.
2252+TOS 値と \fIbits\fP の XOR を取る (\fB\-\-set\-tos\fP \fIbits\fP\fB/0\fP の簡易表現。下の「注意」を参照)
2253+.PP
2254+注意: 2.6.38 以前の Linux カーネル (ただし、長期間サポートのリリース 2.6.32 (>=.42), 2.6.33
2255+(>=.15), 2.6.35 (>=.14) 以外) では、 IPv6 TOS mangling
2256+がドキュメントに書かれている通りに動作せず、IPv4 バージョンの場合と異なる動作をするというバグがある。 TOS mask はビットが 1
2257+の場合に対応するビットが 0 にすることを指示するので、 元の TOS フィールドに mask を適用する前に反転する必要がある。 しかしながら、
2258+上記のカーネルではこの反転が抜けており \-\-set\-tos と関連する簡易表現が正しく動作しない。
23122259 .SS TPROXY
23132260 このターゲットは、 \fBmangle\fP テーブルで、 \fBPREROUTING\fP チェインと、 \fBPREROUTING\fP チェインから呼び出される
23142261 ユーザー定義チェインでのみ有効である。 このターゲットは、 そのパケットをパケットヘッダーを変更せずにそのままローカルソケットにリダイレクトする。
@@ -2340,25 +2287,22 @@ for the policy of the built in chains.
23402287 .br
23412288 It can only be used in the \fBraw\fP table.
23422289 .SS "TTL (IPv4 の場合)"
2343-This is used to modify the IPv4 TTL header field. The TTL field determines
2344-how many hops (routers) a packet can traverse until it's time to live is
2345-exceeded.
2290+このターゲットを使うと、 IPv4 の TTL ヘッダーフィールドを変更できる。 TTL フィールドにより、 TTL
2291+がなくなるまでに、パケットが何ホップ (何個のルータ) を通過できるかが決定される。
23462292 .PP
2347-Setting or incrementing the TTL field can potentially be very dangerous, so
2348-it should be avoided at any cost. This target is only valid in \fBmangle\fP
2349-table.
2293+TTL フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。 したがって、可能な限り避けるべきである。 このターゲットは \fBmangle\fP
2294+テーブルでのみ有効である。
23502295 .PP
2351-\fBDon't ever set or increment the value on packets that leave your local
2352-network!\fP
2296+\fB決してローカルネットワーク内に留まるパケットのフィールド値を設定したり増やしたりしないこと!\fP
23532297 .TP
23542298 \fB\-\-ttl\-set\fP \fIvalue\fP
2355-Set the TTL value to `value'.
2299+TTL 値を `value' に設定する。
23562300 .TP
23572301 \fB\-\-ttl\-dec\fP \fIvalue\fP
2358-Decrement the TTL value `value' times.
2302+TTL 値を `value' 回減算する。
23592303 .TP
23602304 \fB\-\-ttl\-inc\fP \fIvalue\fP
2361-Increment the TTL value `value' times.
2305+TTL 値を `value' 回加算する。
23622306 .SS "ULOG (IPv4 の場合)"
23632307 このターゲットは NFLOG ターゲットの前身で IPv4 専用である。現在は非推奨となっている。 マッチしたパケットを
23642308 ユーザー空間でログ記録する機能を提供する。 このターゲットがルールに設定されると、 Linux カーネルは、 そのパケットを \fInetlink\fP
--- a/po4a/man8/iptables-extensions.8.ja.po
+++ b/po4a/man8/iptables-extensions.8.ja.po
@@ -7,7 +7,7 @@ msgid ""
77 msgstr ""
88 "Project-Id-Version: PACKAGE VERSION\n"
99 "POT-Creation-Date: 2014-05-07 04:08+0900\n"
10-"PO-Revision-Date: 2014-05-07 18:43+0900\n"
10+"PO-Revision-Date: 2014-05-09 02:44+0900\n"
1111 "Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
1212 "Language-Team: LANGUAGE <LL@li.org>\n"
1313 "Language: \n"
@@ -213,7 +213,7 @@ msgstr "アドレス種別のチェックをそのパケットが出力される
213213 #. type: SS
214214 #, no-wrap
215215 msgid "ah (IPv6-specific)"
216-msgstr "ah (IPv6 の場合)"
216+msgstr "ah (IPv6 のみ)"
217217
218218 #. type: Plain text
219219 msgid "This module matches the parameters in Authentication header of IPsec packets."
@@ -258,11 +258,11 @@ msgstr "このモジュールは IPsec パケットの認証ヘッダー (AH)
258258 #. type: SS
259259 #, no-wrap
260260 msgid "bpf"
261-msgstr ""
261+msgstr "bpf"
262262
263263 #. type: Plain text
264264 msgid "Match using Linux Socket Filter. Expects a BPF program in decimal format. This is the format generated by the B<nfbpf_compile> utility."
265-msgstr ""
265+msgstr "Linux Socket Filter を使ってマッチを行う。 BPF プログラムを 10 進数形式で指定する。 これは B<nfbpf_compile> ユーティリティにより生成されるフォーマットである。"
266266
267267 #. type: TP
268268 #, no-wrap
@@ -271,55 +271,55 @@ msgstr "B<--bytecode> I<code>"
271271
272272 #. type: Plain text
273273 msgid "Pass the BPF byte code format (described in the example below)."
274-msgstr ""
274+msgstr "BPF バイトコードフォーマットを渡す (フォーマットについては下記の例で説明)。"
275275
276276 #. type: Plain text
277277 msgid "The code format is similar to the output of the tcpdump -ddd command: one line that stores the number of instructions, followed by one line for each instruction. Instruction lines follow the pattern 'u16 u8 u8 u32' in decimal notation. Fields encode the operation, jump offset if true, jump offset if false and generic multiuse field 'K'. Comments are not supported."
278-msgstr ""
278+msgstr "コードのフォーマットは tcpdump の -ddd コマンドの出力に似ている。 最初に命令数が入った行が 1 行あり、 1 行 1 命令がこれに続く。 命令行は 'u16 u8 u8 u32' のパターンで 10 進数で指定する。 各フィールドは、命令、 true 時のジャンプオフセット、 false 時のジャンプオフセット、 汎用で様々な用途に使用するフィールド 'K' である。 コメントはサポートされていない。"
279279
280280 #. type: Plain text
281281 msgid "For example, to read only packets matching 'ip proto 6', insert the following, without the comments or trailing whitespace:"
282-msgstr ""
282+msgstr "例えば 'ip proto 6' にマッチするパケットのみを読み込むには、以下を挿入すればよい (コムと末尾のホワイトスペースは含めずに)。"
283283
284284 #. type: Plain text
285285 msgid "4 # number of instructions"
286-msgstr ""
286+msgstr "4 # 命令数"
287287
288288 #. type: Plain text
289289 msgid "48 0 0 9 # load byte ip-E<gt>proto"
290-msgstr ""
290+msgstr "48 0 0 9 # load byte ip-E<gt>proto"
291291
292292 #. type: Plain text
293293 msgid "21 0 1 6 # jump equal IPPROTO_TCP"
294-msgstr ""
294+msgstr "21 0 1 6 # jump equal IPPROTO_TCP"
295295
296296 #. type: Plain text
297297 msgid "6 0 0 1 # return pass (non-zero)"
298-msgstr ""
298+msgstr "6 0 0 1 # return pass (non-zero)"
299299
300300 #. type: Plain text
301301 msgid "6 0 0 0 # return fail (zero)"
302-msgstr ""
302+msgstr "6 0 0 0 # return fail (zero)"
303303
304304 #. type: Plain text
305305 msgid "You can pass this filter to the bpf match with the following command:"
306-msgstr ""
306+msgstr "このフィルターを bpf マッチに渡すには以下のコマンドのようにする。"
307307
308308 #. type: Plain text
309309 msgid "iptables -A OUTPUT -m bpf --bytecode '4,48 0 0 9,21 0 1 6,6 0 0 1,6 0 0 0' -j ACCEPT"
310-msgstr ""
310+msgstr "iptables -A OUTPUT -m bpf --bytecode '4,48 0 0 9,21 0 1 6,6 0 0 1,6 0 0 0' -j ACCEPT"
311311
312312 #. type: Plain text
313313 msgid "Or instead, you can invoke the nfbpf_compile utility."
314-msgstr ""
314+msgstr "代わりに、 nfbpf_compile ユーティリティを使う方法もある。"
315315
316316 #. type: Plain text
317317 msgid "iptables -A OUTPUT -m bpf --bytecode \"`nfbpf_compile RAW 'ip proto 6'`\" -j ACCEPT"
318-msgstr ""
318+msgstr "iptables -A OUTPUT -m bpf --bytecode \"`nfbpf_compile RAW 'ip proto 6'`\" -j ACCEPT"
319319
320320 #. type: Plain text
321321 msgid "You may want to learn more about BPF from FreeBSD's bpf(4) manpage."
322-msgstr ""
322+msgstr "BPF についてもっと詳しく知るには FreeBSD の bpf(4) manpage を見るといいだろう。"
323323
324324 #. type: SS
325325 #, no-wrap
@@ -341,7 +341,7 @@ msgstr "B<--cluster-total-nodes> I<num>"
341341
342342 #. type: Plain text
343343 msgid "Set number of total nodes in cluster."
344-msgstr "クラスターの合計ノード数を設定する。"
344+msgstr "クラスターの総ノード数を設定する。"
345345
346346 #. type: TP
347347 #, no-wrap
@@ -963,7 +963,7 @@ msgstr "DiffServ クラスにマッチする。 値は BE, EF, AFxx, CSx クラ
963963 #. type: SS
964964 #, no-wrap
965965 msgid "dst (IPv6-specific)"
966-msgstr "dst (IPv6 の場合)"
966+msgstr "dst (IPv6 のみ)"
967967
968968 #. type: Plain text
969969 msgid "This module matches the parameters in Destination Options header"
@@ -1036,7 +1036,7 @@ msgstr "[B<!>] B<--espspi> I<spi>[B<:>I<spi>]"
10361036 #. type: SS
10371037 #, no-wrap
10381038 msgid "eui64 (IPv6-specific)"
1039-msgstr "eui64 (IPv6 の場合)"
1039+msgstr "eui64 (IPv6 のみ)"
10401040
10411041 #. type: Plain text
10421042 msgid "This module matches the EUI-64 part of a stateless autoconfigured IPv6 address. It compares the EUI-64 derived from the source MAC address in Ethernet frame with the lower 64 bits of the IPv6 source address. But \"Universal/Local\" bit is not compared. This module doesn't match other link layer frame, and is only valid in the B<PREROUTING>, B<INPUT> and B<FORWARD> chains."
@@ -1045,7 +1045,7 @@ msgstr "このモジュールは stateless の自動で設定された IPv6 ア
10451045 #. type: SS
10461046 #, no-wrap
10471047 msgid "frag (IPv6-specific)"
1048-msgstr "frag (IPv6 の場合)"
1048+msgstr "frag (IPv6 のみ)"
10491049
10501050 #. type: Plain text
10511051 msgid "This module matches the parameters in Fragment header."
@@ -1260,7 +1260,7 @@ msgstr "\"512kbyte/s を超過するとマッチするが、 1 メガバイト
12601260 #. type: SS
12611261 #, no-wrap
12621262 msgid "hbh (IPv6-specific)"
1263-msgstr "hbh (IPv6 の場合)"
1263+msgstr "hbh (IPv6 のみ)"
12641264
12651265 #. type: Plain text
12661266 msgid "This module matches the parameters in Hop-by-Hop Options header"
@@ -1305,7 +1305,7 @@ msgstr "他のコネクション追跡ヘルパーでも同じルールが適用
13051305 #. type: SS
13061306 #, no-wrap
13071307 msgid "hl (IPv6-specific)"
1308-msgstr "hl (IPv6 の場合)"
1308+msgstr "hl (IPv6 のみ)"
13091309
13101310 #. type: Plain text
13111311 msgid "This module matches the Hop Limit field in the IPv6 header."
@@ -1364,7 +1364,7 @@ msgstr " iptables -p icmp -h\n"
13641364 #. type: SS
13651365 #, no-wrap
13661366 msgid "icmp6 (IPv6-specific)"
1367-msgstr "icmp6 (IPv6 の場合)"
1367+msgstr "icmp6 (IPv6 のみ)"
13681368
13691369 #. type: Plain text
13701370 msgid "This extension can be used if `--protocol ipv6-icmp' or `--protocol icmpv6' is specified. It provides the following option:"
@@ -1414,7 +1414,7 @@ msgstr "指定された範囲の宛先 IP にマッチする。"
14141414 #. type: SS
14151415 #, no-wrap
14161416 msgid "ipv6header (IPv6-specific)"
1417-msgstr "ipv6header (IPv6 の場合)"
1417+msgstr "ipv6header (IPv6 のみ)"
14181418
14191419 #. type: Plain text
14201420 msgid "This module matches IPv6 extension headers and/or upper layer header."
@@ -1666,7 +1666,7 @@ msgstr "指定された符号なしの mark 値を持つパケットにマッチ
16661666 #. type: SS
16671667 #, no-wrap
16681668 msgid "mh (IPv6-specific)"
1669-msgstr "mh (IPv6 の場合)"
1669+msgstr "mh (IPv6 のみ)"
16701670
16711671 #. type: Plain text
16721672 msgid "This extension is loaded if `--protocol ipv6-mh' or `--protocol mh' is specified. It provides the following option:"
@@ -2612,7 +2612,7 @@ msgstr "iptables -t raw -A RPFILTER -m rpfilter --invert -j DROP"
26122612 #. type: SS
26132613 #, no-wrap
26142614 msgid "rt (IPv6-specific)"
2615-msgstr "rt (IPv6 の場合)"
2615+msgstr "rt (IPv6 のみ)"
26162616
26172617 #. type: Plain text
26182618 msgid "Match on IPv6 routing header"
@@ -3427,7 +3427,7 @@ msgstr "バイト 0-3 を読み出し、"
34273427
34283428 #. type: Plain text
34293429 msgid "AND that with 0xFFFF (giving bytes 2-3), and test whether that is in the range [0x100:0xFFFF]"
3430-msgstr "0xFFFF (バイト 2-3 に対応) の論理和 (AND) を取り、 その値が範囲 [0x100:0xFFFF] にあるか検査する。"
3430+msgstr "0xFFFF (バイト 2-3 に対応) の論理積 (AND) を取り、 その値が範囲 [0x100:0xFFFF] にあるか検査する。"
34313431
34323432 #. type: Plain text
34333433 msgid "Example: (more realistic, hence more complicated)"
@@ -3532,7 +3532,7 @@ msgstr "AUDIT"
35323532
35333533 #. type: Plain text
35343534 msgid "This target allows to create audit records for packets hitting the target. It can be used to record accepted, dropped, and rejected packets. See auditd(8) for additional details."
3535-msgstr ""
3535+msgstr "このターゲットを使うと、このターゲットにヒットしたパケットに対する監査 (audit) レコードを作成することができる。 許可/廃棄/拒否されたパケットを記録するのに使用できる。 詳細については auditd(8) を参照。"
35363536
35373537 #. type: TP
35383538 #, no-wrap
@@ -3541,7 +3541,7 @@ msgstr "B<--type> {B<accept>|B<drop>|B<reject>}"
35413541
35423542 #. type: Plain text
35433543 msgid "Set type of audit record."
3544-msgstr ""
3544+msgstr "監査レコード種別を設定する。"
35453545
35463546 #. type: Plain text
35473547 msgid "iptables -N AUDIT_DROP"
@@ -3580,7 +3580,7 @@ msgstr "CLASSIFY"
35803580
35813581 #. type: Plain text
35823582 msgid "This module allows you to set the skb-E<gt>priority value (and thus classify the packet into a specific CBQ class)."
3583-msgstr ""
3583+msgstr "このモジュールを使うと skb-E<gt>priority の値を設定できる (その結果、そのパケットを特定の CBQ クラスに分類できる)。"
35843584
35853585 #. type: TP
35863586 #, no-wrap
@@ -3589,7 +3589,7 @@ msgstr "B<--set-class> I<major>B<:>I<minor>"
35893589
35903590 #. type: Plain text
35913591 msgid "Set the major and minor class value. The values are always interpreted as hexadecimal even if no 0x prefix is given."
3592-msgstr ""
3592+msgstr "メジャークラスとマイナークラスの値を設定する。値は常に 16 進数として解釈される。 0x が前に付いていない場合であっても 16 進数と解釈される。"
35933593
35943594 #. type: SS
35953595 #, no-wrap
@@ -3598,7 +3598,7 @@ msgstr "CLUSTERIP (IPv4 の場合)"
35983598
35993599 #. type: Plain text
36003600 msgid "This module allows you to configure a simple cluster of nodes that share a certain IP and MAC address without an explicit load balancer in front of them. Connections are statically distributed between the nodes in this cluster."
3601-msgstr ""
3601+msgstr "このモジュールを使うと、 ノードの前段に明示的に負荷分散装置を置かずに、 特定の IP アドレスと MAC アドレスを共有するノードの簡単なクラスターを構成することができる。 コネクションは、このクラスターのノード間で静的に分散される。"
36023602
36033603 #. type: TP
36043604 #, no-wrap
@@ -3607,7 +3607,7 @@ msgstr "B<--new>"
36073607
36083608 #. type: Plain text
36093609 msgid "Create a new ClusterIP. You always have to set this on the first rule for a given ClusterIP."
3610-msgstr ""
3610+msgstr "新しい ClusterIP を作成する。 このオプションは、ここで指定する ClusterIP を使うルールの中で一番最初に設定しなければならない。"
36113611
36123612 #. type: TP
36133613 #, no-wrap
@@ -3616,7 +3616,7 @@ msgstr "B<--hashmode> I<mode>"
36163616
36173617 #. type: Plain text
36183618 msgid "Specify the hashing mode. Has to be one of B<sourceip>, B<sourceip-sourceport>, B<sourceip-sourceport-destport>."
3619-msgstr ""
3619+msgstr "ハッシュモードを指定する。 B<sourceip>, B<sourceip-sourceport>, B<sourceip-sourceport-destport> のいずれかでなければならない。"
36203620
36213621 #. type: TP
36223622 #, no-wrap
@@ -3625,7 +3625,7 @@ msgstr "B<--clustermac> I<mac>"
36253625
36263626 #. type: Plain text
36273627 msgid "Specify the ClusterIP MAC address. Has to be a link-layer multicast address"
3628-msgstr ""
3628+msgstr "ClusterIP の MAC アドレスを指定する。 リンク層のマルチキャストアドレスでなければならない。"
36293629
36303630 #. type: TP
36313631 #, no-wrap
@@ -3634,7 +3634,7 @@ msgstr "B<--total-nodes> I<num>"
36343634
36353635 #. type: Plain text
36363636 msgid "Number of total nodes within this cluster."
3637-msgstr ""
3637+msgstr "このクラスターの総ノード数。"
36383638
36393639 #. type: TP
36403640 #, no-wrap
@@ -3643,7 +3643,7 @@ msgstr "B<--local-node> I<num>"
36433643
36443644 #. type: Plain text
36453645 msgid "Local node number within this cluster."
3646-msgstr ""
3646+msgstr "このクラスターのローカルノード番号。"
36473647
36483648 #. type: TP
36493649 #, no-wrap
@@ -3652,7 +3652,7 @@ msgstr "B<--hash-init> I<rnd>"
36523652
36533653 #. type: Plain text
36543654 msgid "Specify the random seed used for hash initialization."
3655-msgstr ""
3655+msgstr "ハッシュの初期化に使用される乱数シード値を指定する。"
36563656
36573657 #. type: SS
36583658 #, no-wrap
@@ -3670,7 +3670,7 @@ msgstr "B<--set-xmark> I<value>[B</>I<mask>]"
36703670
36713671 #. type: Plain text
36723672 msgid "Zero out the bits given by I<mask> and XOR I<value> into the ctmark."
3673-msgstr ""
3673+msgstr "I<mask> で指定されたビットを 0 にし、 I<value> と ctmark の XOR を取る。"
36743674
36753675 #. type: TP
36763676 #, no-wrap
@@ -3679,7 +3679,7 @@ msgstr "B<--save-mark> [B<--nfmask> I<nfmask>] [B<--ctmask> I<ctmask>]"
36793679
36803680 #. type: Plain text
36813681 msgid "Copy the packet mark (nfmark) to the connection mark (ctmark) using the given masks. The new nfmark value is determined as follows:"
3682-msgstr ""
3682+msgstr "指定されたマスクを使って、 パケットマーク (nfmark) をコネクションマーク (ctmark) にコピーする。 新しい ctmark 値は以下のように決定される。"
36833683
36843684 #. type: Plain text
36853685 msgid "ctmark = (ctmark & ~ctmask) ^ (nfmark & nfmask)"
@@ -3687,7 +3687,7 @@ msgstr "ctmark = (ctmark & ~ctmask) ^ (nfmark & nfmask)"
36873687
36883688 #. type: Plain text
36893689 msgid "i.e. I<ctmask> defines what bits to clear and I<nfmask> what bits of the nfmark to XOR into the ctmark. I<ctmask> and I<nfmask> default to 0xFFFFFFFF."
3690-msgstr ""
3690+msgstr "I<ctmask> はどのビットをクリアするかを規定し、 I<nfmask> は nfmark のどのビットを ctmark と XOR するかを規定する。 I<ctmask> と I<nfmask> のデフォルト値は 0xFFFFFFFF である。"
36913691
36923692 #. type: TP
36933693 #, no-wrap
@@ -3696,7 +3696,7 @@ msgstr "B<--restore-mark> [B<--nfmask> I<nfmask>] [B<--ctmask> I<ctmask>]"
36963696
36973697 #. type: Plain text
36983698 msgid "Copy the connection mark (ctmark) to the packet mark (nfmark) using the given masks. The new ctmark value is determined as follows:"
3699-msgstr ""
3699+msgstr "指定されたマスクを使って、 コネクションマーク (ctmark) をパケットマーク (nfmark) にコピーする。 新しい nfmark 値は以下のように決定される。"
37003700
37013701 #. type: Plain text
37023702 msgid "nfmark = (nfmark & ~I<nfmask>) ^ (ctmark & I<ctmask>);"
@@ -3704,15 +3704,15 @@ msgstr "nfmark = (nfmark & ~I<nfmask>) ^ (ctmark & I<ctmask>);"
37043704
37053705 #. type: Plain text
37063706 msgid "i.e. I<nfmask> defines what bits to clear and I<ctmask> what bits of the ctmark to XOR into the nfmark. I<ctmask> and I<nfmask> default to 0xFFFFFFFF."
3707-msgstr ""
3707+msgstr "I<nfmask> はどのビットをクリアするかを規定し、 I<ctmask> は ctmark のどのビットを nfmark と XOR するかを規定する。 I<ctmask> と I<nfmask> のデフォルト値は 0xFFFFFFFF である。"
37083708
37093709 #. type: Plain text
37103710 msgid "B<--restore-mark> is only valid in the B<mangle> table."
3711-msgstr ""
3711+msgstr "B<--restore-mark> は B<mangle> テーブルでのみ有効である。"
37123712
37133713 #. type: Plain text
37143714 msgid "The following mnemonics are available for B<--set-xmark>:"
3715-msgstr ""
3715+msgstr "以下の簡易表現が B<--set-xmark> の代わりに利用できる。"
37163716
37173717 #. type: TP
37183718 #, no-wrap
@@ -3721,7 +3721,7 @@ msgstr "B<--and-mark> I<bits>"
37213721
37223722 #. type: Plain text
37233723 msgid "Binary AND the ctmark with I<bits>. (Mnemonic for B<--set-xmark 0/>I<invbits>, where I<invbits> is the binary negation of I<bits>.)"
3724-msgstr ""
3724+msgstr "ctmark と I<bits> のビット論理積 (AND) を取る (B<--set-xmark 0/>I<invbits> の簡易表現、 I<invbits> は I<bits> のビット単位の否定である)。"
37253725
37263726 #. type: TP
37273727 #, no-wrap
@@ -3730,7 +3730,7 @@ msgstr "B<--or-mark> I<bits>"
37303730
37313731 #. type: Plain text
37323732 msgid "Binary OR the ctmark with I<bits>. (Mnemonic for B<--set-xmark> I<bits>B</>I<bits>.)"
3733-msgstr ""
3733+msgstr "ctmark と I<bits> のビット論理和 (OR) を取る (B<--set-xmark> I<bits>B</>I<bits> の簡易表現)。"
37343734
37353735 #. type: TP
37363736 #, no-wrap
@@ -3739,7 +3739,7 @@ msgstr "B<--xor-mark> I<bits>"
37393739
37403740 #. type: Plain text
37413741 msgid "Binary XOR the ctmark with I<bits>. (Mnemonic for B<--set-xmark> I<bits>B</0>.)"
3742-msgstr ""
3742+msgstr "ctmark と I<bits> のビット XOR を取る (B<--set-xmark> I<bits>B</0> の簡易表現)。"
37433743
37443744 #. type: TP
37453745 #, no-wrap
@@ -3748,7 +3748,7 @@ msgstr "B<--set-mark> I<value>[B</>I<mask>]"
37483748
37493749 #. type: Plain text
37503750 msgid "Set the connection mark. If a mask is specified then only those bits set in the mask are modified."
3751-msgstr ""
3751+msgstr "コネクションマークを設定する。 mask が指定された場合、 mask で指定されたビットだけが変更される。"
37523752
37533753 #. type: TP
37543754 #, no-wrap
@@ -3757,7 +3757,7 @@ msgstr "B<--save-mark> [B<--mask> I<mask>]"
37573757
37583758 #. type: Plain text
37593759 msgid "Copy the nfmark to the ctmark. If a mask is specified, only those bits are copied."
3760-msgstr ""
3760+msgstr "nfmark を ctmark へコピーする。 mask が指定された場合、そのビットだけがコピーされる。"
37613761
37623762 #. type: TP
37633763 #, no-wrap
@@ -3811,7 +3811,7 @@ msgstr "B<--notrack>"
38113811
38123812 #. type: Plain text
38133813 msgid "Disables connection tracking for this packet."
3814-msgstr ""
3814+msgstr "このパケットに対するコネクション追跡を無効にする。"
38153815
38163816 #. type: TP
38173817 #, no-wrap
@@ -3820,7 +3820,7 @@ msgstr "B<--helper> I<name>"
38203820
38213821 #. type: Plain text
38223822 msgid "Use the helper identified by I<name> for the connection. This is more flexible than loading the conntrack helper modules with preset ports."
3823-msgstr ""
3823+msgstr "I<name> で指定されるヘルパーをこのコネクションで使用する。 この方法は、あらかじめ設定したポートに対して conntrack ヘルパーモジュールをロードするよりも柔軟性がある。"
38243824
38253825 #. type: TP
38263826 #, no-wrap
@@ -3883,7 +3883,7 @@ msgstr "B<--random>"
38833883
38843884 #. type: Plain text
38853885 msgid "If option B<--random> is used then port mapping will be randomized (kernel E<gt>= 2.6.22)."
3886-msgstr ""
3886+msgstr "B<--random> オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.22 以降)。"
38873887
38883888 #. type: TP
38893889 #, no-wrap
@@ -3892,25 +3892,25 @@ msgstr "B<--persistent>"
38923892
38933893 #. type: Plain text
38943894 msgid "Gives a client the same source-/destination-address for each connection. This supersedes the SAME target. Support for persistent mappings is available from 2.6.29-rc2."
3895-msgstr ""
3895+msgstr "クライアントの各コネクションに同じ送信元アドレス/宛先アドレスを割り当てる。 これは SAME ターゲットよりも優先される。 persistent マッピングのサポートは 2.6.29-rc2 以降で利用可能である。"
38963896
38973897 #. type: TP
38983898 #, no-wrap
38993899 msgid "IPv6 support available since Linux kernels E<gt>= 3.7."
3900-msgstr ""
3900+msgstr "IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。"
39013901
39023902 #. type: SS
39033903 #, no-wrap
39043904 msgid "DNPT (IPv6-specific)"
3905-msgstr "DNPT (IPv6 の場合)"
3905+msgstr "DNPT (IPv6 のみ)"
39063906
39073907 #. type: Plain text
39083908 msgid "Provides stateless destination IPv6-to-IPv6 Network Prefix Translation (as described by RFC 6296)."
3909-msgstr ""
3909+msgstr "(RFC 6296 で説明されている) ステートレス IPv6-to-IPv6 宛先ネットワークプレフィックス変換を提供する。"
39103910
39113911 #. type: Plain text
39123912 msgid "You have to use this target in the B<mangle> table, not in the B<nat> table. It takes the following options:"
3913-msgstr ""
3913+msgstr "このターゲットは B<nat> テーブルではなく B<mangle> テーブルで使わなければならない。 以下のオプションを取る。"
39143914
39153915 #. type: TP
39163916 #, no-wrap
@@ -3919,7 +3919,7 @@ msgstr "B<--src-pfx> [I<prefix/>I<length]>"
39193919
39203920 #. type: Plain text
39213921 msgid "Set source prefix that you want to translate and length"
3922-msgstr ""
3922+msgstr "変換を行う送信元プレフィックスとその長さを設定する。"
39233923
39243924 #. type: TP
39253925 #, no-wrap
@@ -3928,31 +3928,31 @@ msgstr "B<--dst-pfx> [I<prefix/>I<length]>"
39283928
39293929 #. type: Plain text
39303930 msgid "Set destination prefix that you want to use in the translation and length"
3931-msgstr ""
3931+msgstr "変換を行う宛先プレフィックスとその長さを設定する。"
39323932
39333933 #. type: Plain text
39343934 msgid "You have to use the SNPT target to undo the translation. Example:"
3935-msgstr ""
3935+msgstr "変換を取り消すには SNPT ターゲットを使わなければならない。 例:"
39363936
39373937 #. type: Plain text
39383938 msgid "ip6tables -t mangle -I POSTROUTING -s fd00::/64 \\! -o vboxnet0 -j SNPT --src-pfx fd00::/64 --dst-pfx 2001:e20:2000:40f::/64"
3939-msgstr ""
3939+msgstr "ip6tables -t mangle -I POSTROUTING -s fd00::/64 \\! -o vboxnet0 -j SNPT --src-pfx fd00::/64 --dst-pfx 2001:e20:2000:40f::/64"
39403940
39413941 #. type: Plain text
39423942 msgid "ip6tables -t mangle -I PREROUTING -i wlan0 -d 2001:e20:2000:40f::/64 -j DNPT --src-pfx 2001:e20:2000:40f::/64 --dst-pfx fd00::/64"
3943-msgstr ""
3943+msgstr "ip6tables -t mangle -I PREROUTING -i wlan0 -d 2001:e20:2000:40f::/64 -j DNPT --src-pfx 2001:e20:2000:40f::/64 --dst-pfx fd00::/64"
39443944
39453945 #. type: Plain text
39463946 msgid "You may need to enable IPv6 neighbor proxy:"
3947-msgstr ""
3947+msgstr "IPv6 neighbor proxy を有効にする必要があるかもしれない。"
39483948
39493949 #. type: Plain text
39503950 msgid "sysctl -w net.ipv6.conf.all.proxy_ndp=1"
3951-msgstr ""
3951+msgstr "sysctl -w net.ipv6.conf.all.proxy_ndp=1"
39523952
39533953 #. type: Plain text
39543954 msgid "You also have to use the B<NOTRACK> target to disable connection tracking for translated flows."
3955-msgstr ""
3955+msgstr "また、変換されたフローに対するコネクション追跡を無効にするには B<NOTRACK> ターゲットを使用する必要がある。"
39563956
39573957 #. type: SS
39583958 #, no-wrap
@@ -4002,15 +4002,15 @@ msgstr "TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ
40024002 #. type: SS
40034003 #, no-wrap
40044004 msgid "HL (IPv6-specific)"
4005-msgstr "HL (IPv6 の場合)"
4005+msgstr "HL (IPv6 のみ)"
40064006
40074007 #. type: Plain text
40084008 msgid "This is used to modify the Hop Limit field in IPv6 header. The Hop Limit field is similar to what is known as TTL value in IPv4. Setting or incrementing the Hop Limit field can potentially be very dangerous, so it should be avoided at any cost. This target is only valid in B<mangle> table."
4009-msgstr ""
4009+msgstr "このターゲットを使うと IPv6 ヘッダーの Hop Limit フィールドを変更することができる。 Hop Limit フィールドは IPv4 の TTL 値と同じようなものである。 Hop Limit フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。 したがって、可能な限り避けるべきである。 このターゲットは B<mangle> テーブルでのみ有効である。"
40104010
40114011 #. type: Plain text
40124012 msgid "B<Don't ever set or increment the value on packets that leave your local network!>"
4013-msgstr ""
4013+msgstr "B<決してローカルネットワーク内に留まるパケットのフィールド値を設定したり増やしたりしないこと!>"
40144014
40154015 #. type: TP
40164016 #, no-wrap
@@ -4019,7 +4019,7 @@ msgstr "B<--hl-set> I<value>"
40194019
40204020 #. type: Plain text
40214021 msgid "Set the Hop Limit to `value'."
4022-msgstr ""
4022+msgstr "Hop Limit を `value' に設定する。"
40234023
40244024 #. type: TP
40254025 #, no-wrap
@@ -4028,7 +4028,7 @@ msgstr "B<--hl-dec> I<value>"
40284028
40294029 #. type: Plain text
40304030 msgid "Decrement the Hop Limit `value' times."
4031-msgstr ""
4031+msgstr "Hop Limit を `value' 回減算する。"
40324032
40334033 #. type: TP
40344034 #, no-wrap
@@ -4037,7 +4037,7 @@ msgstr "B<--hl-inc> I<value>"
40374037
40384038 #. type: Plain text
40394039 msgid "Increment the Hop Limit `value' times."
4040-msgstr ""
4040+msgstr "Hop Limit を `value' 回加算する。"
40414041
40424042 #. type: SS
40434043 #, no-wrap
@@ -4153,7 +4153,7 @@ msgstr ""
41534153
41544154 #. type: Plain text
41554155 msgid "I<Examples:>"
4156-msgstr ""
4156+msgstr "I<例>:"
41574157
41584158 #. type: Plain text
41594159 #, no-wrap
@@ -4279,7 +4279,7 @@ msgstr "B<--log-level> I<level>"
42794279
42804280 #. type: Plain text
42814281 msgid "Level of logging, which can be (system-specific) numeric or a mnemonic. Possible values are (in decreasing order of priority): B<emerg>, B<alert>, B<crit>, B<error>, B<warning>, B<notice>, B<info> or B<debug>."
4282-msgstr ""
4282+msgstr "ロギングレベル。 (システム固有の) 数値かシンボル名を指定する。 指定できる値は (優先度が高い順に) B<emerg>, B<alert>, B<crit>, B<error>, B<warning>, B<notice>, B<info>, B<debug> である。"
42834283
42844284 #. type: TP
42854285 #, no-wrap
@@ -4327,7 +4327,7 @@ msgstr "B<--log-uid>"
43274327
43284328 #. type: Plain text
43294329 msgid "Log the userid of the process which generated the packet."
4330-msgstr ""
4330+msgstr "パケットを生成したプロセスのユーザー ID をログに記録する。"
43314331
43324332 #. type: SS
43334333 #, no-wrap
@@ -4336,36 +4336,36 @@ msgstr "MARK"
43364336
43374337 #. type: Plain text
43384338 msgid "This target is used to set the Netfilter mark value associated with the packet. It can, for example, be used in conjunction with routing based on fwmark (needs iproute2). If you plan on doing so, note that the mark needs to be set in the PREROUTING chain of the mangle table to affect routing. The mark field is 32 bits wide."
4339-msgstr ""
4339+msgstr "このターゲットを使うと、 そのパケットに関連付けられる Netfilter マーク値を設定する。 例えば、 fwmark に基づくルーティング (iproute2 が必要) と組み合わせて使うことができる。 そうする場合には、 ルーティング時に考慮されるようにするには、 mangle テーブルの PREROUTING チェインでマークを設定する必要がある。 マークフィールドは 32 ビット幅である。"
43404340
43414341 #. type: Plain text
43424342 msgid "Zeroes out the bits given by I<mask> and XORs I<value> into the packet mark (\"nfmark\"). If I<mask> is omitted, 0xFFFFFFFF is assumed."
4343-msgstr ""
4343+msgstr "I<mask> で指定されたビットを 0 にし、 I<value> と packet mark (\"nfmark\") の XOR を取る。 I<mask> が省略された場合は 0xFFFFFFFF とみなされる。"
43444344
43454345 #. type: Plain text
43464346 msgid "Zeroes out the bits given by I<mask> and ORs I<value> into the packet mark. If I<mask> is omitted, 0xFFFFFFFF is assumed."
4347-msgstr ""
4347+msgstr "I<mask> で指定されたビットを 0 にし、 I<value> と packet mark の OR を取る。 I<mask> が省略された場合は 0xFFFFFFFF とみなされる。"
43484348
43494349 #. type: Plain text
43504350 msgid "The following mnemonics are available:"
4351-msgstr ""
4351+msgstr "以下の簡易表現が利用できる。"
43524352
43534353 #. type: Plain text
43544354 msgid "Binary AND the nfmark with I<bits>. (Mnemonic for B<--set-xmark 0/>I<invbits>, where I<invbits> is the binary negation of I<bits>.)"
4355-msgstr ""
4355+msgstr "nfmark と I<bits> のビット論理積 (AND) を取る (B<--set-xmark 0/>I<invbits> の簡易表現、 I<invbits> は I<bits> のビット単位の否定である)。"
43564356
43574357 #. type: Plain text
43584358 msgid "Binary OR the nfmark with I<bits>. (Mnemonic for B<--set-xmark> I<bits>B</>I<bits>.)"
4359-msgstr ""
4359+msgstr "nfmark と I<bits> のビット論理和 (OR) を取る (B<--set-xmark> I<bits>B</>I<bits> の簡易表現)。"
43604360
43614361 #. type: Plain text
43624362 msgid "Binary XOR the nfmark with I<bits>. (Mnemonic for B<--set-xmark> I<bits>B</0>.)"
4363-msgstr ""
4363+msgstr "nfmark と I<bits> のビット XOR を取る (B<--set-xmark> I<bits>B</0> の簡易表現)。"
43644364
43654365 #. type: SS
43664366 #, no-wrap
43674367 msgid "MASQUERADE"
4368-msgstr ""
4368+msgstr "MASQUERADE"
43694369
43704370 #. type: Plain text
43714371 msgid "This target is only valid in the B<nat> table, in the B<POSTROUTING> chain. It should only be used with dynamically assigned IP (dialup) connections: if you have a static IP address, you should use the SNAT target. Masquerading is equivalent to specifying a mapping to the IP address of the interface the packet is going out, but also has the effect that connections are I<forgotten> when the interface goes down. This is the correct behavior when the next dialup is unlikely to have the same interface address (and hence any established connections are lost anyway)."
@@ -4382,7 +4382,7 @@ msgstr "このオプションは、 使用する送信元ポートの範囲を
43824382
43834383 #. type: Plain text
43844384 msgid "Randomize source port mapping If option B<--random> is used then port mapping will be randomized (kernel E<gt>= 2.6.21)."
4385-msgstr ""
4385+msgstr "送信元ポートのマッピングをランダム化する。 B<--random> オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.21 以降)。"
43864386
43874387 #. type: SS
43884388 #, no-wrap
@@ -4396,11 +4396,11 @@ msgstr "実験的なデモンストレーション用のターゲットであり
43964396 #. type: SS
43974397 #, no-wrap
43984398 msgid "NETMAP"
4399-msgstr ""
4399+msgstr "NETMAP"
44004400
44014401 #. type: Plain text
44024402 msgid "This target allows you to statically map a whole network of addresses onto another network of addresses. It can only be used from rules in the B<nat> table."
4403-msgstr ""
4403+msgstr "このターゲットを使うと、あるアドレスネットワーク全体を別のネットワークアドレスに静的にマッピングできる。 このターゲットは B<nat> テーブルでルールでのみ使用できる。"
44044404
44054405 #. type: TP
44064406 #, no-wrap
@@ -4409,7 +4409,7 @@ msgstr "B<--to> I<address>[B</>I<mask>]"
44094409
44104410 #. type: Plain text
44114411 msgid "Network address to map to. The resulting address will be constructed in the following way: All 'one' bits in the mask are filled in from the new `address'. All bits that are zero in the mask are filled in from the original address."
4412-msgstr ""
4412+msgstr "マッピング先のネットワークアドレス。 変換後のアドレスは以下のようにして構築される。 mask で '1' になっているビットは新しいアドレスが使われ、 mask で '0' になっているビットは元のアドレスが使われる。"
44134413
44144414 #. type: SS
44154415 #, no-wrap
@@ -4464,6 +4464,8 @@ msgstr "NFQUEUE"
44644464 #. type: Plain text
44654465 msgid "This target passes the packet to userspace using the B<nfnetlink_queue> handler. The packet is put into the queue identified by its 16-bit queue number. Userspace can inspect and modify the packet if desired. Userspace must then drop or reinject the packet into the kernel. Please see libnetfilter_queue for details. B<nfnetlink_queue> was added in Linux 2.6.14. The B<queue-balance> option was added in Linux 2.6.31, B<queue-bypass> in 2.6.39."
44664466 msgstr ""
4467+"このターゲットは、 B<nfnetlink_queue> ハンドラーを使ってそのパケットをユーザー空間に渡す。 パケットは 16 ビットのキュー番号で指定されたキューに入れられる。 ユーザー空間では好きなようにパケットを検査し変更できる。 ユーザー空間側では、必ずそのパケットを破棄するかカーネルに戻すかのどちらかをしなければならない。 詳細は libnetfilter_queue を参照のこと。\n"
4468+"B<nfnetlink_queue> は Linux 2.6.14 で追加された。 B<queue-balance> オプションは Linux 2.6.31 で、 B<queue-bypass> は Linux 2.6.39 で追加された。"
44674469
44684470 #. type: TP
44694471 #, no-wrap
@@ -4472,7 +4474,7 @@ msgstr "B<--queue-num> I<value>"
44724474
44734475 #. type: Plain text
44744476 msgid "This specifies the QUEUE number to use. Valid queue numbers are 0 to 65535. The default value is 0."
4475-msgstr ""
4477+msgstr "使用する QUEUE 番号を指定する。 有効なキュー番号は 0 から 65535 である。 デフォルトは 0 である。"
44764478
44774479 #. type: TP
44784480 #, no-wrap
@@ -4481,7 +4483,7 @@ msgstr "B<--queue-balance> I<value>B<:>I<value>"
44814483
44824484 #. type: Plain text
44834485 msgid "This specifies a range of queues to use. Packets are then balanced across the given queues. This is useful for multicore systems: start multiple instances of the userspace program on queues x, x+1, .. x+n and use \"--queue-balance I<x>B<:>I<x+n>\". Packets belonging to the same connection are put into the same nfqueue."
4484-msgstr ""
4486+msgstr "使用するキューの範囲を指定する。 パケットは指定された範囲のキューに分散される。 これはマルチコアシステムで有用である。 ユーザー空間プログラムの複数インスタンスをキュー x, x+1, .. x+n で開始し、 \"--queue-balance I<x>B<:>I<x+n>\" を使用する。 同じコネクションに所属するパケットは同じ nfqueue に入れられる。"
44854487
44864488 #. type: TP
44874489 #, no-wrap
@@ -4490,7 +4492,7 @@ msgstr "B<--queue-bypass>"
44904492
44914493 #. type: Plain text
44924494 msgid "By default, if no userspace program is listening on an NFQUEUE, then all packets that are to be queued are dropped. When this option is used, the NFQUEUE rule behaves like ACCEPT instead, and the packet will move on to the next table."
4493-msgstr ""
4495+msgstr "デフォルトでは、 どのユーザー空間プログラムも NFQUEUE をリッスンしていない場合、 キューされるはずのすべてのパケットが破棄される。 このオプションを使うと、 NFQUEUE ルールは ACCEPT のような動作となり、 パケットは次のテーブルに進む。"
44944496
44954497 #. type: TP
44964498 #, no-wrap
@@ -4499,7 +4501,7 @@ msgstr "B<--queue-cpu-fanout>"
44994501
45004502 #. type: Plain text
45014503 msgid "Available starting Linux kernel 3.10. When used together with B<--queue-balance> this will use the CPU ID as an index to map packets to the queues. The idea is that you can improve performance if there's a queue per CPU. This requires B<--queue-balance> to be specified."
4502-msgstr ""
4504+msgstr "Linux カーネル 3.10 以降で利用可能。 B<--queue-balance> とともに使用されると、このオプションはパケットをキューにマッピングする際のインデックスとして CPU ID を使用する。 これは、 CPU ごとにキューがある場合に性能を向上させようというものである。 このオプションを使うには B<--queue-balance> を指定する必要がある。"
45034505
45044506 #. type: SS
45054507 #, no-wrap
@@ -4508,7 +4510,7 @@ msgstr "NOTRACK"
45084510
45094511 #. type: Plain text
45104512 msgid "This extension disables connection tracking for all packets matching that rule. It is equivalent with -j CT --notrack. Like CT, NOTRACK can only be used in the B<raw> table."
4511-msgstr ""
4513+msgstr "このターゲットを使うと、そのルールにマッチした全てのパケットでコネクション追跡が無効になる。 これは -j CT --notrack と等価である。 CT と同様、 NOTRACK は B<raw> テーブルでのみ使用できる。"
45124514
45134515 #. type: SS
45144516 #, no-wrap
@@ -4549,7 +4551,7 @@ msgstr ""
45494551 #. type: SS
45504552 #, no-wrap
45514553 msgid "REDIRECT"
4552-msgstr ""
4554+msgstr "REDIRECT"
45534555
45544556 #. type: Plain text
45554557 msgid "This target is only valid in the B<nat> table, in the B<PREROUTING> and B<OUTPUT> chains, and user-defined chains which are only called from those chains. It redirects the packet to the machine itself by changing the destination IP to the primary address of the incoming interface (locally-generated packets are mapped to the localhost address, 127.0.0.1 for IPv4 and ::1 for IPv6)."
@@ -4562,12 +4564,12 @@ msgstr "このオプションは使用される宛先ポート・ポート範囲
45624564 #. type: TP
45634565 #, no-wrap
45644566 msgid "IPv6 support available starting Linux kernels E<gt>= 3.7."
4565-msgstr ""
4567+msgstr "IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。"
45664568
45674569 #. type: SS
45684570 #, no-wrap
45694571 msgid "REJECT (IPv6-specific)"
4570-msgstr "REJECT (IPv6 の場合)"
4572+msgstr "REJECT (IPv6 のみ)"
45714573
45724574 #. type: Plain text
45734575 msgid "This is used to send back an error packet in response to the matched packet: otherwise it is equivalent to B<DROP> so it is a terminating TARGET, ending rule traversal. This target is only valid in the B<INPUT>, B<FORWARD> and B<OUTPUT> chains, and user-defined chains which are only called from those chains. The following option controls the nature of the error packet returned:"
@@ -4723,24 +4725,24 @@ msgstr "1 つの新しい送信元 IP アドレス、 または IP アドレス
47234725
47244726 #. type: Plain text
47254727 msgid "If option B<--random> is used then port mapping will be randomized (kernel E<gt>= 2.6.21)."
4726-msgstr ""
4728+msgstr "B<--random> オプションが使用されると、ポートマッピングはランダム化される (カーネル 2.6.21 以降)。"
47274729
47284730 #. type: Plain text
47294731 msgid "Kernels prior to 2.6.36-rc1 don't have the ability to B<SNAT> in the B<INPUT> chain."
4730-msgstr ""
4732+msgstr "2.6.36-rc1 より前のカーネルでは B<INPUT> チェインで B<SNAT> を使用できない。"
47314733
47324734 #. type: SS
47334735 #, no-wrap
47344736 msgid "SNPT (IPv6-specific)"
4735-msgstr "SNPT (IPv6 の場合)"
4737+msgstr "SNPT (IPv6 のみ)"
47364738
47374739 #. type: Plain text
47384740 msgid "Provides stateless source IPv6-to-IPv6 Network Prefix Translation (as described by RFC 6296)."
4739-msgstr ""
4741+msgstr "(RFC 6296 で説明されている) ステートレス IPv6-to-IPv6 送信元ネットワークプレフィックス変換を提供する。"
47404742
47414743 #. type: Plain text
47424744 msgid "You have to use the DNPT target to undo the translation. Example:"
4743-msgstr ""
4745+msgstr "変換を取り消すには DNPT ターゲットを使わなければならない。 例:"
47444746
47454747 #. type: SS
47464748 #, no-wrap
@@ -4824,7 +4826,7 @@ msgstr "TCPOPTSTRIP"
48244826
48254827 #. type: Plain text
48264828 msgid "This target will strip TCP options off a TCP packet. (It will actually replace them by NO-OPs.) As such, you will need to add the B<-p tcp> parameters."
4827-msgstr ""
4829+msgstr "このターゲットは TCP パケットから TCP オプションを削除する (実際には TCPオプションを NO-OP で置き換える)。 このターゲットを使うには B<-p tcp> パラメーターを使う必要があるだろう。"
48284830
48294831 #. type: TP
48304832 #, no-wrap
@@ -4833,7 +4835,7 @@ msgstr "B<--strip-options> I<option>[B<,>I<option>...]"
48334835
48344836 #. type: Plain text
48354837 msgid "Strip the given option(s). The options may be specified by TCP option number or by symbolic name. The list of recognized options can be obtained by calling iptables with B<-j TCPOPTSTRIP -h>."
4836-msgstr ""
4838+msgstr "指定されたオプション (複数可) を削除する。 オプションは TCP オプション番号かシンボル名で指定する。 iptables を B<-j TCPOPTSTRIP -h> で呼び出すと、指定できるオプションのシンボル名を取得できる。"
48374839
48384840 #. type: SS
48394841 #, no-wrap
@@ -4842,7 +4844,7 @@ msgstr "TEE"
48424844
48434845 #. type: Plain text
48444846 msgid "The B<TEE> target will clone a packet and redirect this clone to another machine on the B<local> network segment. In other words, the nexthop must be the target, or you will have to configure the nexthop to forward it further if so desired."
4845-msgstr ""
4847+msgstr "B<TEE> ターゲットは、 パケットのクローンを作成し、 クローンしたパケットをB<ローカル>ネットワークセグメントにある別のマシンにリダイレクトする。 言い換えると、ネクストホップがターゲットでなければならないということだ。 つまり、必要に応じてネクストホップがさらにパケットを転送するように設定する必要があるということだ。"
48464848
48474849 #. type: TP
48484850 #, no-wrap
@@ -4851,11 +4853,11 @@ msgstr "B<--gateway> I<ipaddr>"
48514853
48524854 #. type: Plain text
48534855 msgid "Send the cloned packet to the host reachable at the given IP address. Use of 0.0.0.0 (for IPv4 packets) or :: (IPv6) is invalid."
4854-msgstr ""
4856+msgstr "クローンしたパケットを指定した IP アドレスで届くホストに送信する。 (IPv4 の場合) 0.0.0.0、 (IPv6 の場合) :: は無効である。"
48554857
48564858 #. type: Plain text
48574859 msgid "To forward all incoming traffic on eth0 to an Network Layer logging box:"
4858-msgstr ""
4860+msgstr "eth0 に届いたすべての入力トラフィックをネットワーク層のロギングボックスに転送する。"
48594861
48604862 #. type: Plain text
48614863 msgid "-t mangle -A PREROUTING -i eth0 -j TEE --gateway 2001:db8::1"
@@ -4868,7 +4870,7 @@ msgstr "TOS"
48684870
48694871 #. type: Plain text
48704872 msgid "This module sets the Type of Service field in the IPv4 header (including the \"precedence\" bits) or the Priority field in the IPv6 header. Note that TOS shares the same bits as DSCP and ECN. The TOS target is only valid in the B<mangle> table."
4871-msgstr ""
4873+msgstr "このモジュールは IPv4 ヘッダーの Type of Service フィールド (上位ビットも含む) や IPv6 ヘッダーの Priority フィールドを設定する。 TOS は DSCP と ECN と同じビットを共有する点に注意すること。 TOS ターゲットは B<mangle> テーブルでのみ有効である。"
48724874
48734875 #. type: TP
48744876 #, no-wrap
@@ -4877,7 +4879,7 @@ msgstr "B<--set-tos> I<value>[B</>I<mask>]"
48774879
48784880 #. type: Plain text
48794881 msgid "Zeroes out the bits given by I<mask> (see NOTE below) and XORs I<value> into the TOS/Priority field. If I<mask> is omitted, 0xFF is assumed."
4880-msgstr ""
4882+msgstr "I<mask> で指定されたビットを 0 にし (下の「注意」を参照)、 I<value> と TOS/Priority フィールド の XOR を取る。 I<mask> が省略された場合は 0xFF とみなされる。"
48814883
48824884 #. type: TP
48834885 #, no-wrap
@@ -4886,7 +4888,7 @@ msgstr "B<--set-tos> I<symbol>"
48864888
48874889 #. type: Plain text
48884890 msgid "You can specify a symbolic name when using the TOS target for IPv4. It implies a mask of 0xFF (see NOTE below). The list of recognized TOS names can be obtained by calling iptables with B<-j TOS -h>."
4889-msgstr ""
4891+msgstr "IPv4 の TOS ターゲットを使用する際にはシンボル名を指定することができる。 暗黙のうち 0xFF が mask として使用される (下の「注意」を参照)。 使用できる TOS 名のリストは iptables を B<-j TOS -h> で呼び出すと取得できる。"
48904892
48914893 #. type: TP
48924894 #, no-wrap
@@ -4895,7 +4897,7 @@ msgstr "B<--and-tos> I<bits>"
48954897
48964898 #. type: Plain text
48974899 msgid "Binary AND the TOS value with I<bits>. (Mnemonic for B<--set-tos 0/>I<invbits>, where I<invbits> is the binary negation of I<bits>. See NOTE below.)"
4898-msgstr ""
4900+msgstr "TOS 値と I<bits> のビット論理積 (AND) を取る (B<--set-tos 0/>I<invbits> の簡易表現、 I<invbits> は I<bits> のビット単位の否定である。 下の「注意」を参照)"
48994901
49004902 #. type: TP
49014903 #, no-wrap
@@ -4904,7 +4906,7 @@ msgstr "B<--or-tos> I<bits>"
49044906
49054907 #. type: Plain text
49064908 msgid "Binary OR the TOS value with I<bits>. (Mnemonic for B<--set-tos> I<bits>B</>I<bits>. See NOTE below.)"
4907-msgstr ""
4909+msgstr "TOS 値と I<bits> のビット論理和 (OR) を取る (B<--set-tos> I<bits>B</>I<bits> の簡易表現。下の「注意」を参照)"
49084910
49094911 #. type: TP
49104912 #, no-wrap
@@ -4913,11 +4915,11 @@ msgstr "B<--xor-tos> I<bits>"
49134915
49144916 #. type: Plain text
49154917 msgid "Binary XOR the TOS value with I<bits>. (Mnemonic for B<--set-tos> I<bits>B</0>. See NOTE below.)"
4916-msgstr ""
4918+msgstr "TOS 値と I<bits> の XOR を取る (B<--set-tos> I<bits>B</0> の簡易表現。下の「注意」を参照)"
49174919
49184920 #. type: Plain text
49194921 msgid "NOTE: In Linux kernels up to and including 2.6.38, with the exception of longterm releases 2.6.32 (E<gt>=.42), 2.6.33 (E<gt>=.15), and 2.6.35 (E<gt>=.14), there is a bug whereby IPv6 TOS mangling does not behave as documented and differs from the IPv4 version. The TOS mask indicates the bits one wants to zero out, so it needs to be inverted before applying it to the original TOS field. However, the aformentioned kernels forgo the inversion which breaks --set-tos and its mnemonics."
4920-msgstr ""
4922+msgstr "注意: 2.6.38 以前の Linux カーネル (ただし、長期間サポートのリリース 2.6.32 (E<gt>=.42), 2.6.33 (E<gt>=.15), 2.6.35 (E<gt>=.14) 以外) では、 IPv6 TOS mangling がドキュメントに書かれている通りに動作せず、IPv4 バージョンの場合と異なる動作をするというバグがある。 TOS mask はビットが 1 の場合に対応するビットが 0 にすることを指示するので、 元の TOS フィールドに mask を適用する前に反転する必要がある。 しかしながら、 上記のカーネルではこの反転が抜けており --set-tos と関連する簡易表現が正しく動作しない。"
49214923
49224924 #. type: SS
49234925 #, no-wrap
@@ -4979,11 +4981,11 @@ msgstr "TTL (IPv4 の場合)"
49794981
49804982 #. type: Plain text
49814983 msgid "This is used to modify the IPv4 TTL header field. The TTL field determines how many hops (routers) a packet can traverse until it's time to live is exceeded."
4982-msgstr ""
4984+msgstr "このターゲットを使うと、 IPv4 の TTL ヘッダーフィールドを変更できる。 TTL フィールドにより、 TTL がなくなるまでに、パケットが何ホップ (何個のルータ) を通過できるかが決定される。"
49834985
49844986 #. type: Plain text
49854987 msgid "Setting or incrementing the TTL field can potentially be very dangerous, so it should be avoided at any cost. This target is only valid in B<mangle> table."
4986-msgstr ""
4988+msgstr "TTL フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。 したがって、可能な限り避けるべきである。 このターゲットは B<mangle> テーブルでのみ有効である。"
49874989
49884990 #. type: TP
49894991 #, no-wrap
@@ -4992,7 +4994,7 @@ msgstr "B<--ttl-set> I<value>"
49924994
49934995 #. type: Plain text
49944996 msgid "Set the TTL value to `value'."
4995-msgstr ""
4997+msgstr "TTL 値を `value' に設定する。"
49964998
49974999 #. type: TP
49985000 #, no-wrap
@@ -5001,7 +5003,7 @@ msgstr "B<--ttl-dec> I<value>"
50015003
50025004 #. type: Plain text
50035005 msgid "Decrement the TTL value `value' times."
5004-msgstr ""
5006+msgstr "TTL 値を `value' 回減算する。"
50055007
50065008 #. type: TP
50075009 #, no-wrap
@@ -5010,7 +5012,7 @@ msgstr "B<--ttl-inc> I<value>"
50105012
50115013 #. type: Plain text
50125014 msgid "Increment the TTL value `value' times."
5013-msgstr ""
5015+msgstr "TTL 値を `value' 回加算する。"
50145016
50155017 #. type: SS
50165018 #, no-wrap
@@ -5056,39 +5058,3 @@ msgstr "B<--ulog-qthreshold> I<size>"
50565058 #. type: Plain text
50575059 msgid "Number of packet to queue inside kernel. Setting this value to, e.g. 10 accumulates ten packets inside the kernel and transmits them as one netlink multipart message to userspace. Default is 1 (for backwards compatibility)."
50585060 msgstr "カーネル内部のキューに入れられるパケットの数。 例えば、 この値を 10 にした場合、 カーネル内部で 10 個のパケットをまとめ、 1 つの netlink マルチパートメッセージとしてユーザー空間に送る。 (過去のものとの互換性のため) デフォルトは 1 である。"
5059-
5060-#~ msgid "Steve's ipt_recent website (http://snowman.net/projects/ipt_recent/) also has some examples of usage."
5061-#~ msgstr "Steve の ipt_recent ウェブサイト (http://snowman.net/projects/ipt_recent/) にも使用例がいくつかある。"
5062-
5063-#~ msgid "which can specify a single new destination IP address, an inclusive range of IP addresses, and optionally, a port range (which is only valid if the rule also specifies B<-p tcp> or B<-p udp>). If no port range is specified, then the destination port will never be modified. If no IP address is specified then only the destination port will be modified."
5064-#~ msgstr "1 つの新しい宛先 IP アドレス、 または IP アドレスの範囲が指定できる。 ポートの範囲を指定することもできる (これはルールで B<-p tcp> または B<-p udp> を指定している場合にのみ有効)。 ポートの範囲が指定されていない場合、 宛先ポートは変更されない。 IP アドレスが指定されなかった場合は、 宛先ポートだけが変更される。"
5065-
5066-#~ msgid "LOG (IPv6-specific)"
5067-#~ msgstr "LOG (IPv6 の場合)"
5068-
5069-#~ msgid "LOG (IPv4-specific)"
5070-#~ msgstr "LOG (IPv4 の場合)"
5071-
5072-#~ msgid "Log options from the IP packet header."
5073-#~ msgstr "IP パケットヘッダーのオプションをログに記録する。"
5074-
5075-#~ msgid "MASQUERADE (IPv6-specific)"
5076-#~ msgstr "MASQUERADE (IPv6 の場合)"
5077-
5078-#~ msgid "This target is only valid in the B<nat> table, in the B<POSTROUTING> chain. It should only be used with dynamically assigned IPv6 (dialup) connections: if you have a static IP address, you should use the SNAT target. Masquerading is equivalent to specifying a mapping to the IP address of the interface the packet is going out, but also has the effect that connections are I<forgotten> when the interface goes down. This is the correct behavior when the next dialup is unlikely to have the same interface address (and hence any established connections are lost anyway)."
5079-#~ msgstr "このターゲットは B<nat> テーブルの B<POSTROUTING> チェインのみで有効である。 動的割り当て IPv6 (ダイヤルアップ) コネクションの場合にのみ使うべきである。 固定 IP アドレスならば、 SNAT ターゲットを使うべきである。 マスカレーディングは、 パケットが送信されるインターフェースの IP アドレスへのマッピングを指定するのと同じであるが、 インターフェースが停止した場合にコネクションをI<忘れる>という効果がある。 次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い (そのため、 前回確立されたコネクションは失われる) 場合、 この動作は正しい。"
5080-
5081-#~ msgid "MASQUERADE (IPv4-specific)"
5082-#~ msgstr "MASQUERADE (IPv4 の場合)"
5083-
5084-#~ msgid "NETMAP (IPv4-specific)"
5085-#~ msgstr "NETMAP (IPv4 の場合)"
5086-
5087-#~ msgid "REDIRECT (IPv4-specific)"
5088-#~ msgstr "REDIRECT (IPv4 の場合)"
5089-
5090-#~ msgid "This target is only valid in the B<nat> table, in the B<POSTROUTING> chain. It specifies that the source address of the packet should be modified (and all future packets in this connection will also be mangled), and rules should cease being examined. It takes one type of option:"
5091-#~ msgstr "このターゲットは B<nat> テーブルの B<POSTROUTING> チェインのみで有効である。 このターゲットはパケットの送信元アドレスを修正させる (このコネクションの以降のパケットも修正して分からなく (mangle) する)。 さらに、 ルールが評価を中止するように指示する。 このターゲットにはオプションが 1 種類ある:"
5092-
5093-#~ msgid "In Kernels up to 2.6.10, you can add several --to-source options. For those kernels, if you specify more than one source address, either via an address range or multiple --to-source options, a simple round-robin (one after another in cycle) takes place between these addresses. Later Kernels (E<gt>= 2.6.11-rc1) don't have the ability to NAT to multiple ranges anymore."
5094-#~ msgstr "2.6.10 以前のカーネルでは、 複数の --to-source オプションを指定することができる。 これらのカーネルでは、 アドレスの範囲指定や --to-source オプションの複数回指定により 2 つ以上の送信元アドレスを指定した場合、 それらのアドレスを使った単純なラウンド・ロビンが行われる。 それ以降のカーネル (E<gt>= 2.6.11-rc1) には複数の範囲を NAT する機能は存在しない。"
--- a/release/man8/iptables-extensions.8
+++ b/release/man8/iptables-extensions.8
@@ -81,7 +81,7 @@ iptables は拡張されたパケットマッチングモジュールを使う
8181 \fB\-\-limit\-iface\-out\fP
8282 アドレス種別のチェックをそのパケットが出力されるインターフェースに限定する。 このオプションは \fBPOSTROUTING\fP, \fBOUTPUT\fP,
8383 \fBFORWARD\fP チェインでのみ利用できる。 \fB\-\-limit\-iface\-in\fP オプションと同時に指定することはできない。
84-.SS "ah (IPv6 の場合)"
84+.SS "ah (IPv6 のみ)"
8585 このモジュールは IPsec パケットの認証ヘッダーのパラメータにマッチする。
8686 .TP
8787 [\fB!\fP] \fB\-\-ahspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
@@ -97,22 +97,19 @@ SPI にマッチする。
9797 .TP
9898 [\fB!\fP] \fB\-\-ahspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
9999 .SS bpf
100-Match using Linux Socket Filter. Expects a BPF program in decimal
101-format. This is the format generated by the \fBnfbpf_compile\fP utility.
100+Linux Socket Filter を使ってマッチを行う。 BPF プログラムを 10 進数形式で指定する。 これは
101+\fBnfbpf_compile\fP ユーティリティにより生成されるフォーマットである。
102102 .TP
103103 \fB\-\-bytecode\fP \fIcode\fP
104-Pass the BPF byte code format (described in the example below).
104+BPF バイトコードフォーマットを渡す (フォーマットについては下記の例で説明)。
105105 .PP
106-The code format is similar to the output of the tcpdump \-ddd command: one
107-line that stores the number of instructions, followed by one line for each
108-instruction. Instruction lines follow the pattern 'u16 u8 u8 u32' in decimal
109-notation. Fields encode the operation, jump offset if true, jump offset if
110-false and generic multiuse field 'K'. Comments are not supported.
106+コードのフォーマットは tcpdump の \-ddd コマンドの出力に似ている。 最初に命令数が入った行が 1 行あり、 1 行 1 命令がこれに続く。
107+命令行は 'u16 u8 u8 u32' のパターンで 10 進数で指定する。 各フィールドは、命令、 true 時のジャンプオフセット、 false
108+時のジャンプオフセット、 汎用で様々な用途に使用するフィールド 'K' である。 コメントはサポートされていない。
111109 .PP
112-For example, to read only packets matching 'ip proto 6', insert the
113-following, without the comments or trailing whitespace:
110+例えば 'ip proto 6' にマッチするパケットのみを読み込むには、以下を挿入すればよい (コムと末尾のホワイトスペースは含めずに)。
114111 .IP
115-4 # number of instructions
112+4 # 命令数
116113 .br
117114 48 0 0 9 # load byte ip\->proto
118115 .br
@@ -122,17 +119,17 @@ following, without the comments or trailing whitespace:
122119 .br
123120 6 0 0 0 # return fail (zero)
124121 .PP
125-You can pass this filter to the bpf match with the following command:
122+このフィルターを bpf マッチに渡すには以下のコマンドのようにする。
126123 .IP
127124 iptables \-A OUTPUT \-m bpf \-\-bytecode '4,48 0 0 9,21 0 1 6,6 0 0 1,6 0 0 0'
128125 \-j ACCEPT
129126 .PP
130-Or instead, you can invoke the nfbpf_compile utility.
127+代わりに、 nfbpf_compile ユーティリティを使う方法もある。
131128 .IP
132129 iptables \-A OUTPUT \-m bpf \-\-bytecode "`nfbpf_compile RAW 'ip proto 6'`" \-j
133130 ACCEPT
134131 .PP
135-You may want to learn more about BPF from FreeBSD's bpf(4) manpage.
132+BPF についてもっと詳しく知るには FreeBSD の bpf(4) manpage を見るといいだろう。
136133 .SS cluster
137134 このモジュールを使うと、負荷分散装置なしで、ゲートウェイとバックエンドの負荷分散クラスターを配備できる。
138135 .PP
@@ -141,7 +138,7 @@ cluster match decides if this node has to handle a packet given the
141138 following options:
142139 .TP
143140 \fB\-\-cluster\-total\-nodes\fP \fInum\fP
144-クラスターの合計ノード数を設定する。
141+クラスターの総ノード数を設定する。
145142 .TP
146143 [\fB!\fP] \fB\-\-cluster\-local\-node\fP \fInum\fP
147144 ローカルノードの数字の ID を設定する。
@@ -405,7 +402,7 @@ TOS に取って代わった。
405402 .TP
406403 [\fB!\fP] \fB\-\-dscp\-class\fP \fIclass\fP
407404 DiffServ クラスにマッチする。 値は BE, EF, AFxx, CSx クラスのいずれかである。 対応する数値に変換される。
408-.SS "dst (IPv6 の場合)"
405+.SS "dst (IPv6 のみ)"
409406 このモジュールは宛先オプションヘッダーのパラメータにマッチする。
410407 .TP
411408 [\fB!\fP] \fB\-\-dst\-len\fP \fIlength\fP
@@ -430,12 +427,12 @@ TCP ECN ECE (ECN Echo) ビットがセットされている場合にマッチす
430427 このモジュールは IPsec パケットの ESP ヘッダーの SPI 値にマッチする。
431428 .TP
432429 [\fB!\fP] \fB\-\-espspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
433-.SS "eui64 (IPv6 の場合)"
430+.SS "eui64 (IPv6 のみ)"
434431 このモジュールは stateless の自動で設定された IPv6 アドレスの EUI\-64 の部分にマッチする。 Ethernet の送信元 MAC
435432 アドレスに基づく EUI\-64 と IPv6 送信元アドレスの下位 64 ビットの比較が行われる。 ただし "Universal/Local"
436433 ビットは比較されない。 このモジュールは他のリンク層フレームにはマッチしない。 このモジュールは \fBPREROUTING\fP, \fBINPUT\fP,
437434 \fBFORWARD\fP チェインでのみ有効である。
438-.SS "frag (IPv6 の場合)"
435+.SS "frag (IPv6 のみ)"
439436 このモジュールはフラグメントヘッダーのパラメータにマッチする。
440437 .TP
441438 [\fB!\fP] \fB\-\-fragid\fP \fIid\fP[\fB:\fP\fIid\fP]
@@ -528,7 +525,7 @@ srcport \-\-hashlimit\-upto 100/sec
528525 バイト/秒によるマッチ
529526 "512kbyte/s を超過するとマッチするが、 1 メガバイトに達するまではマッチせず許可する" \-\-hashlimit\-mode dstip
530527 \-\-hashlimit\-above 512kb/s \-\-hashlimit\-burst 1mb
531-.SS "hbh (IPv6 の場合)"
528+.SS "hbh (IPv6 のみ)"
532529 このモジュールは Hop\-by\-Hop オプションヘッダーのパラメータにマッチする。
533530 .TP
534531 [\fB!\fP] \fB\-\-hbh\-len\fP \fIlength\fP
@@ -548,7 +545,7 @@ srcport \-\-hashlimit\-upto 100/sec
548545 .PP
549546 他のコネクション追跡ヘルパーでも同じルールが適用される。
550547 .RE
551-.SS "hl (IPv6 の場合)"
548+.SS "hl (IPv6 のみ)"
552549 このモジュールは IPv6 ヘッダーの Hop Limit フィールドにマッチする。
553550 .TP
554551 [\fB!\fP] \fB\-\-hl\-eq\fP \fIvalue\fP
@@ -568,7 +565,7 @@ ICMP タイプを指定できる。 タイプ指定には、 数値の ICMP タ
568565 .nf
569566 iptables \-p icmp \-h
570567 .fi
571-.SS "icmp6 (IPv6 の場合)"
568+.SS "icmp6 (IPv6 のみ)"
572569 これらの拡張は `\-\-protocol ipv6\-icmp' または `\-\-protocol icmpv6' が指定された場合に使用でき、
573570 以下のオプションが提供される:
574571 .TP
@@ -586,7 +583,7 @@ ICMPv6 タイプを指定できる。 タイプ指定には、 数値の ICMP \f
586583 .TP
587584 [\fB!\fP] \fB\-\-dst\-range\fP \fIfrom\fP[\fB\-\fP\fIto\fP]
588585 指定された範囲の宛先 IP にマッチする。
589-.SS "ipv6header (IPv6 の場合)"
586+.SS "ipv6header (IPv6 のみ)"
590587 このモジュールは IPv6 拡張ヘッダー、 上位レイヤのヘッダー、もしくはその両方にマッチする。
591588 .TP
592589 \fB\-\-soft\fP
@@ -680,7 +677,7 @@ xt_limit has no negation support \- you will have to use \-m hashlimit !
680677 [\fB!\fP] \fB\-\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
681678 指定された符号なしの mark 値を持つパケットにマッチする (\fImask\fP が指定されると、 比較の前に \fImask\fP との論理積 (AND)
682679 がとられる)。
683-.SS "mh (IPv6 の場合)"
680+.SS "mh (IPv6 のみ)"
684681 この拡張は `\-\-protocol ipv6\-mh' または `\-\-protocol mh' が指定された場合にロードされる。
685682 以下のオプションが提供される。
686683 .TP
@@ -691,10 +688,9 @@ Mobility Header (MH) タイプを指定できる。 タイプ指定には、 数
691688 ip6tables \-p mh \-h
692689 .fi
693690 .SS multiport
694-This module matches a set of source or destination ports. Up to 15 ports
695-can be specified. A port range (port:port) counts as two ports. It can
696-only be used in conjunction with one of the following protocols: \fBtcp\fP,
697-\fBudp\fP, \fBudplite\fP, \fBdccp\fP and \fBsctp\fP.
691+このモジュールは送信元ポートや宛先ポートの集合にマッチする。 ポートは 15 個まで指定できる。 ポートの範囲指定 (port:port) は 2
692+ポートとカウントされる。 このモジュールが使用できるのは \fBtcp\fP, \fBudp\fP, \fBudplite\fP, \fBdccp\fP, \fBsctp\fP
693+のいずれかと組み合わせた場合だけである。
698694 .TP
699695 [\fB!\fP] \fB\-\-source\-ports\fP,\fB\-\-sports\fP \fIport\fP[\fB,\fP\fIport\fP|\fB,\fP\fIport\fP\fB:\fP\fIport\fP]...
700696 送信元ポートが指定されたポートのいずれにマッチする。 フラグ \fB\-\-sports\fP はこのオプションの便利な別名である。
@@ -1061,31 +1057,25 @@ DEFAULT リストをフラッシュ (全エントリーを削除) する
10611057 \fBip_list_gid\fP=\fI0\fP
10621058 /proc/net/xt_recent/* ファイルの数値 ID でのグループ所有者。
10631059 .SS rpfilter
1064-Performs a reverse path filter test on a packet. If a reply to the packet
1065-would be sent via the same interface that the packet arrived on, the packet
1066-will match. Note that, unlike the in\-kernel rp_filter, packets protected by
1067-IPSec are not treated specially. Combine this match with the policy match
1068-if you want this. Also, packets arriving via the loopback interface are
1069-always permitted. This match can only be used in the PREROUTING chain of
1070-the raw or mangle table.
1060+パケットに対して reverse path フィルターテストを行う。
1061+パケットに対する応答がパケットが到着したインターフェースと同じインターフェースから送信される場合、そのパケットにマッチする。 カーネル内の
1062+rp_filter と異なり、 IPsec で保護されたパケットが特別扱いされない点に注意すること。
1063+必要な場合は、このマッチをポリシーマッチと組み合わせて使うこと。 また、ループバックインターフェース経由で到着したパケットは常に許可される。
1064+このマッチは raw テーブルまたは mangle テーブルの PREROUTING チェインでのみ使用できる。
10711065 .TP
10721066 \fB\-\-loose\fP
1073-Used to specifiy that the reverse path filter test should match even if the
1074-selected output device is not the expected one.
1067+選択された出力デバイスが期待されたものではない場合であっても、 reverse path フィルターテストのマッチを行うことを指示する。
10751068 .TP
10761069 \fB\-\-validmark\fP
1077-Also use the packets' nfmark value when performing the reverse path route
1078-lookup.
1070+reverse path の経路検索実行時にそのパケットの nfmark 値も使用する。
10791071 .TP
10801072 \fB\-\-accept\-local\fP
1081-This will permit packets arriving from the network with a source address
1082-that is also assigned to the local machine.
1073+ローカルマシンにも割り当てられている送信元アドレスを持つネットワークから到着したパケットを許可する。
10831074 .TP
10841075 \fB\-\-invert\fP
1085-This will invert the sense of the match. Instead of matching packets that
1086-passed the reverse path filter test, match those that have failed it.
1076+マッチの意味を逆にする。 reverse path フィルターテストに合格したパケットにマッチするのではなく、テストに失敗したパケットにマッチする。
10871077 .PP
1088-Example to log and drop packets failing the reverse path filter test:
1078+reverse path フィルターテストに失敗したパケットをロギングし破棄する例
10891079
10901080 iptables \-t raw \-N RPFILTER
10911081
@@ -1101,7 +1091,7 @@ iptables \-t raw \-A PREROUTING \-j RPFILTER
11011091 失敗したパケットをドロップするが、ロギングを行わない例
11021092
11031093 iptables \-t raw \-A RPFILTER \-m rpfilter \-\-invert \-j DROP
1104-.SS "rt (IPv6 の場合)"
1094+.SS "rt (IPv6 のみ)"
11051095 IPv6 ルーティングヘッダーに対してマッチする。
11061096 .TP
11071097 [\fB!\fP] \fB\-\-rt\-type\fP \fItype\fP
@@ -1241,10 +1231,9 @@ Example (assuming packets with mark 1 are delivered locally):
12411231 パケットについてのコネクション追跡状態を参照できる。
12421232 .TP
12431233 [\fB!\fP] \fB\-\-state\fP \fIstate\fP
1244-Where state is a comma separated list of the connection states to
1245-match. Only a subset of the states unterstood by "conntrack" are recognized:
1246-\fBINVALID\fP, \fBESTABLISHED\fP, \fBNEW\fP, \fBRELATED\fP or \fBUNTRACKED\fP. For their
1247-description, see the "conntrack" heading in this manpage.
1234+state はマッチするコネクション状態のカンマ区切りのリストである。 "conntrack" が理解できる状態の一部だけが指定できる。 指定できるのは
1235+\fBINVALID\fP, \fBESTABLISHED\fP, \fBNEW\fP, \fBRELATED\fP, \fBUNTRACKED\fP である。
1236+これらの説明はこのマニュアルページの "conntrack" の説明を参照のこと。
12481237 .SS statistic
12491238 このモジュールは統計的な条件に基づいたパケットのマッチングを行う。 二つのモードがサポートされており、 \fB\-\-mode\fP オプションで設定できる。
12501239 .PP
@@ -1283,13 +1272,12 @@ n パケットに 1 つマッチする。 \fBnth\fP モードでのみ機能す
12831272 .TP
12841273 例:
12851274 .IP
1286-# The string pattern can be used for simple text characters.
1275+# 文字列パターンは単純なテキスト文字を探すのに使用できる。
12871276 .br
12881277 iptables \-A INPUT \-p tcp \-\-dport 80 \-m string \-\-algo bm \-\-string 'GET
12891278 /index.html' \-j LOG
12901279 .IP
1291-# The hex string pattern can be used for non\-printable characters, like |0D
1292-0A| or |0D0A|.
1280+16 進数文字列のパターンは表示可能文字以外を検索するのに使用できる。 |0D 0A| や |0D0A| など。
12931281 .br
12941282 iptables \-p udp \-\-dport 53 \-m string \-\-algo bm \-\-from 40 \-\-to 57
12951283 \-\-hex\-string '|03|www|09|netfilter|03|org|00|'
@@ -1331,43 +1319,36 @@ SYN/ACK パケットに対してのみ利用できる。 MSS のネゴシエー
13311319 [\fB!\fP] \fB\-\-mss\fP \fIvalue\fP[\fB:\fP\fIvalue\fP]
13321320 指定された TCP MSS 値か範囲にマッチする。
13331321 .SS time
1334-This matches if the packet arrival time/date is within a given range. All
1335-options are optional, but are ANDed when specified. All times are
1336-interpreted as UTC by default.
1322+このモジュールはパケットの到着時刻/日付が指定された範囲内の場合にマッチする。 すべてのオプションが任意オプションで、 複数指定した場合は AND
1323+と解釈される。 デフォルトではすべての時刻は UTC と解釈される。
13371324 .TP
13381325 \fB\-\-datestart\fP \fIYYYY\fP[\fB\-\fP\fIMM\fP[\fB\-\fP\fIDD\fP[\fBT\fP\fIhh\fP[\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]]]]]
13391326 .TP
13401327 \fB\-\-datestop\fP \fIYYYY\fP[\fB\-\fP\fIMM\fP[\fB\-\fP\fIDD\fP[\fBT\fP\fIhh\fP[\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]]]]]
1341-Only match during the given time, which must be in ISO 8601 "T" notation.
1342-The possible time range is 1970\-01\-01T00:00:00 to 2038\-01\-19T04:17:07.
1328+指定された時刻 (日付も含む) の範囲にある場合にマッチする。 時刻は ISO 8601 "T" 表記でなければならない。 指定可能な範囲は
1329+1970\-01\-01T00:00:00 から 2038\-01\-19T04:17:07 である。
13431330 .IP
1344-If \-\-datestart or \-\-datestop are not specified, it will default to
1345-1970\-01\-01 and 2038\-01\-19, respectively.
1331+\-\-datestart と \-\-datestop は、指定されなかった場合、それぞれ 1970\-01\-01 と 2038\-01\-19 とみなされます。
13461332 .TP
13471333 \fB\-\-timestart\fP \fIhh\fP\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]
13481334 .TP
13491335 \fB\-\-timestop\fP \fIhh\fP\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]
1350-Only match during the given daytime. The possible time range is 00:00:00 to
1351-23:59:59. Leading zeroes are allowed (e.g. "06:03") and correctly
1352-interpreted as base\-10.
1336+指定された時刻 (日付は含まない) の範囲にある場合にマッチする。 指定可能な範囲は 00:00:00 から 23:59:59 である。
1337+("06:03" のように) 先頭に 0 を付けてもよい。 この場合も 10 進数として正しく解釈される。
13531338 .TP
13541339 [\fB!\fP] \fB\-\-monthdays\fP \fIday\fP[\fB,\fP\fIday\fP...]
1355-Only match on the given days of the month. Possible values are \fB1\fP to
1356-\fB31\fP. Note that specifying \fB31\fP will of course not match on months which
1357-do not have a 31st day; the same goes for 28\- or 29\-day February.
1340+指定された月の日付にマッチする。 指定可能な値は \fB1\fP から \fB31\fP である。 もちろん \fB31\fP を指定した場合 31
1341+日がない月ではマッチしない。 同じことが 2 月 29 日についても言える。
13581342 .TP
13591343 [\fB!\fP] \fB\-\-weekdays\fP \fIday\fP[\fB,\fP\fIday\fP...]
1360-Only match on the given weekdays. Possible values are \fBMon\fP, \fBTue\fP,
1361-\fBWed\fP, \fBThu\fP, \fBFri\fP, \fBSat\fP, \fBSun\fP, or values from \fB1\fP to \fB7\fP,
1362-respectively. You may also use two\-character variants (\fBMo\fP, \fBTu\fP, etc.).
1344+指定した曜日にマッチする。 指定可能な値は \fBMon\fP, \fBTue\fP, \fBWed\fP, \fBThu\fP, \fBFri\fP, \fBSat\fP, \fBSun\fP
1345+および \fB1\fP から \fB7\fP の値である。 また、2 文字の曜日指定 (\fBMo\fP, \fBTu\fP など) も使用できる。
13631346 .TP
13641347 \fB\-\-contiguous\fP
1365-When \fB\-\-timestop\fP is smaller than \fB\-\-timestart\fP value, match this as a
1366-single time period instead distinct intervals. See EXAMPLES.
1348+\fB\-\-timestop\fP が \fB\-\-timestart\fP よりも小さい場合、複数の期間ではなく、一つの時間帯としてマッチするようにする。 例を参照。
13671349 .TP
13681350 \fB\-\-kerneltz\fP
1369-Use the kernel timezone instead of UTC to determine whether a packet meets
1370-the time regulations.
1351+パケットが時刻指定にマッチするかを判定する際に UTC ではなくカーネルタイムゾーンを使用する。
13711352 .PP
13721353 About kernel timezones: Linux keeps the system time in UTC, and always does
13731354 so. On boot, system time is initialized from a referential time
@@ -1396,38 +1377,34 @@ resolve the issue. As such, one may encounter a timezone that is always
13961377 +0000, or one that is wrong half of the time of the year. As such, \fBusing
13971378 \-\-kerneltz is highly discouraged.\fP
13981379 .PP
1399-EXAMPLES. To match on weekends, use:
1380+例をいくつか。 週末にマッチさせる場合:
14001381 .IP
14011382 \-m time \-\-weekdays Sa,Su
14021383 .PP
1403-Or, to match (once) on a national holiday block:
1384+国の祝日に (一度だけ) マッチさせる場合:
14041385 .IP
14051386 \-m time \-\-datestart 2007\-12\-24 \-\-datestop 2007\-12\-27
14061387 .PP
1407-Since the stop time is actually inclusive, you would need the following stop
1408-time to not match the first second of the new day:
1388+終了時刻も実際には含まれるので、新年の最初の 1 秒にマッチしないように終了時刻を以下のように指定する必要がある:
14091389 .IP
14101390 \-m time \-\-datestart 2007\-01\-01T17:00 \-\-datestop 2007\-01\-01T23:59:59
14111391 .PP
1412-During lunch hour:
1392+昼御飯の時間帯:
14131393 .IP
14141394 \-m time \-\-timestart 12:30 \-\-timestop 13:30
14151395 .PP
1416-The fourth Friday in the month:
1396+第 4 金曜日:
14171397 .IP
14181398 \-m time \-\-weekdays Fr \-\-monthdays 22,23,24,25,26,27,28
14191399 .PP
1420-(Note that this exploits a certain mathematical property. It is not possible
1421-to say "fourth Thursday OR fourth Friday" in one rule. It is possible with
1422-multiple rules, though.)
1400+(これは数学的な性質を利用している点に留意すること。 一つのルールで「第 4 木曜日 または 第 4 金曜日」と指定することはできない。
1401+複数ルールで指定することはできるが。)
14231402 .PP
1424-Matching across days might not do what is expected. For instance,
1403+日をまたぐマッチングは期待するようには動かないだろう。例えば、
14251404 .IP
1426-\-m time \-\-weekdays Mo \-\-timestart 23:00 \-\-timestop 01:00 Will match Monday,
1427-for one hour from midnight to 1 a.m., and then again for another hour from
1428-23:00 onwards. If this is unwanted, e.g. if you would like 'match for two
1429-hours from Montay 23:00 onwards' you need to also specify the \-\-contiguous
1430-option in the example above.
1405+\-m time \-\-weekdays Mo \-\-timestart 23:00 \-\-timestop 01:00 は、月曜日の 0 時から午前 1 時の
1406+1 時間にマッチし、 その後さらに 23 時からの 1 時間にもマッチする。 これが希望通りでない場合、例えば、月曜日 23 時から 2
1407+時間にマッチさせたい場合は、 上記に追加で \-\-contiguous オプションも指定する必要がある。
14311408 .SS tos
14321409 このモジュールは IPv4 ヘッダーの 8 ビットの Type of Service フィールド (すなわち上位ビットを含まれる) もしくは IPv6
14331410 ヘッダーの (8 ビットの) Priority フィールドにマッチする。
@@ -1436,9 +1413,9 @@ option in the example above.
14361413 指定された TOS マーク値を持つパケットにマッチする。 mask が指定されると、 比較の前に TOS マーク値との論理積 (AND) がとられる)。
14371414 .TP
14381415 [\fB!\fP] \fB\-\-tos\fP \fIsymbol\fP
1439-You can specify a symbolic name when using the tos match for IPv4. The list
1440-of recognized TOS names can be obtained by calling iptables with \fB\-m tos
1441-\-h\fP. Note that this implies a mask of 0x3F, i.e. all but the ECN bits.
1416+IPv4 の tos フィールドに対するマッチを指定する際にシンボル名を使うことができる。 iptables を \fB\-m tos \-h\fP
1417+で呼び出すと、利用可能な TOS 名の一覧を得ることができる。
1418+シンボル名を使った場合、 mask として 0x3F が使用される (0x3F は ECN ビット以外の全ビットである)。
14421419 .SS "ttl (IPv4 の場合)"
14431420 このモジュールは IP ヘッダーの time to live フィールドにマッチする。
14441421 .TP
@@ -1451,12 +1428,11 @@ TTL が指定された TTL 値より大きければマッチする。
14511428 \fB\-\-ttl\-lt\fP \fIttl\fP
14521429 TTL が指定された TTL 値より小さければマッチする。
14531430 .SS u32
1454-U32 tests whether quantities of up to 4 bytes extracted from a packet have
1455-specified values. The specification of what to extract is general enough to
1456-find data at given offsets from tcp headers or payloads.
1431+U32 は、パケットから最大 4 バイトの数値を取り出して、指定した値を持つかの検査を行う。 どこを取り出すかの指定は汎用的になっており、TCP
1432+ヘッダーやペイロードから指定したオフセットのデータを取り出すことができる。
14571433 .TP
14581434 [\fB!\fP] \fB\-\-u32\fP \fItests\fP
1459-The argument amounts to a program in a small language described below.
1435+引き数は、以下で説明する小さな言語のプログラムになる。
14601436 .IP
14611437 tests := location "=" value | tests "&&" location "=" value
14621438 .IP
@@ -1464,35 +1440,31 @@ value := range | value "," range
14641440 .IP
14651441 range := number | number ":" number
14661442 .PP
1467-a single number, \fIn\fP, is interpreted the same as \fIn:n\fP. \fIn:m\fP is
1468-interpreted as the range of numbers \fB>=n\fP and \fB<=m\fP.
1443+数字 1 個 \fIn\fP は \fIn:n\fP と同じものと解釈される。 \fIn:m\fP は \fB>=n\fP かつ \fB<=m\fP
1444+の範囲の数字と解釈される。
14691445 .IP "" 4
14701446 location := number | location operator number
14711447 .IP "" 4
14721448 operator := "&" | "<<" | ">>" | "@"
14731449 .PP
1474-The operators \fB&\fP, \fB<<\fP, \fB>>\fP and \fB&&\fP mean the same as
1475-in C. The \fB=\fP is really a set membership operator and the value syntax
1476-describes a set. The \fB@\fP operator is what allows moving to the next header
1477-and is described further below.
1450+オペレーター \fB&\fP, \fB<<\fP, \fB>>\fP, \fB&&\fP は C と同じ意味である。 \fB=\fP
1451+は集合の所属を検査するオペレーターで、値は集合として記述する。 \fB@\fP オペレーターは、次のヘッダーへの移動に使うオペレーターで、後で詳しく説明する。
14781452 .PP
1479-There are currently some artificial implementation limits on the size of the
1480-tests:
1453+現在のところ、テストの大きさにはいくつか実装から来る制約がある。
14811454 .IP " *"
1482-no more than 10 of "\fB=\fP" (and 9 "\fB&&\fP"s) in the u32 argument
1455+u32 引き数あたりの "\fB=\fP" は最大 10 個まで ("\fB&&\fP" は 9 個まで)
14831456 .IP " *"
1484-no more than 10 ranges (and 9 commas) per value
1457+value あたりの range は 10 個まで (カンマは 9 個まで)
14851458 .IP " *"
1486-no more than 10 numbers (and 9 operators) per location
1459+一つの location あたりの number は最大 10 個まで (operator は 9 個まで)
14871460 .PP
1488-To describe the meaning of location, imagine the following machine that
1489-interprets it. There are three registers:
1461+location の意味を説明するために、 location を解釈する以下のようなマシンを考えてみる。 3 つのレジスターがある。
14901462 .IP
1491-A is of type \fBchar *\fP, initially the address of the IP header
1463+A は \fBchar *\fP 型で、最初は IP ヘッダーのアドレスが入っている。
14921464 .IP
1493-B and C are unsigned 32 bit integers, initially zero
1465+B と C は 32 ビット整数で、最初は 0 である。
14941466 .PP
1495-The instructions are:
1467+命令は以下の通り。
14961468 .IP
14971469 number B = number;
14981470 .IP
@@ -1505,84 +1477,73 @@ C = (*(A+B)<<24) + (*(A+B+1)<<16) + (*(A+B+2)<<8) +
15051477 .IP
15061478 >> number C = C >> number
15071479 .IP
1508-@number A = A + C; then do the instruction number
1480+@number A = A + C; この後、命令の数字を実行する
15091481 .PP
1510-Any access of memory outside [skb\->data,skb\->end] causes the match
1511-to fail. Otherwise the result of the computation is the final value of C.
1482+[skb\->data,skb\->end] 以外へのメモリアクセスはすべてマッチ失敗となる。 それ以外の場合、計算の結果が C
1483+の最終的な値となる。
15121484 .PP
1513-Whitespace is allowed but not required in the tests. However, the characters
1514-that do occur there are likely to require shell quoting, so it is a good
1515-idea to enclose the arguments in quotes.
1485+ホワイトスペースを入れることはできるが、テストでは必須ではない。 しただし、テストに含まれる文字はシェルでのクォートが必要な場合もよくあるので、
1486+引き数全体をクォートで囲んでおくとよいだろう。
15161487 .PP
15171488 例:
15181489 .IP
1519-match IP packets with total length >= 256
1490+トータル長が 256 以上の IP パケットにマッチする
15201491 .IP
1521-The IP header contains a total length field in bytes 2\-3.
1492+IP ヘッダーではバイト 2\-3 にトータル長フィールドがある。
15221493 .IP
15231494 \-\-u32 "\fB0 & 0xFFFF = 0x100:0xFFFF\fP"
15241495 .IP
1525-read bytes 0\-3
1496+バイト 0\-3 を読み出し、
15261497 .IP
1527-AND that with 0xFFFF (giving bytes 2\-3), and test whether that is in the
1528-range [0x100:0xFFFF]
1498+0xFFFF (バイト 2\-3 に対応) の論理積 (AND) を取り、 その値が範囲 [0x100:0xFFFF] にあるか検査する。
15291499 .PP
1530-Example: (more realistic, hence more complicated)
1500+例: (もっと実用的な、したがってもっと複雑な例)
15311501 .IP
1532-match ICMP packets with icmp type 0
1502+ICMP タイプが 0 の ICMP パケットにマッチする
15331503 .IP
1534-First test that it is an ICMP packet, true iff byte 9 (protocol) = 1
1504+まず ICMP パケットかどうか検査する。 バイト 9 (プロトコル) = 1 であれば真。
15351505 .IP
15361506 \-\-u32 "\fB6 & 0xFF = 1 &&\fP ...
15371507 .IP
1538-read bytes 6\-9, use \fB&\fP to throw away bytes 6\-8 and compare the result to
1539-1. Next test that it is not a fragment. (If so, it might be part of such a
1540-packet but we cannot always tell.) N.B.: This test is generally needed if
1541-you want to match anything beyond the IP header. The last 6 bits of byte 6
1542-and all of byte 7 are 0 iff this is a complete packet (not a
1543-fragment). Alternatively, you can allow first fragments by only testing the
1544-last 5 bits of byte 6.
1508+バイト 6\-9 を読み出し、 \fB&\fP を使ってバイト 6\-8 を取り除き、 得られた値を 1 と比較する。 次に、フラグメントではないことを検査する
1509+(フラグメントの場合、パケットは ICMP パケットの一部かもしれないが、 常にそうだとは言えない)。 \fB注意\fP: 一般的に IP
1510+ヘッダーより先にあるものとマッチを行う場合にはこの検査は必要である。 このパケットが (フラグメントではない) 完全なパケットであれば、バイト 6
1511+の最後の 6 ビットとバイト 7 の全ビットが 0 である。 代わりに、 バイト 6 の最後の 5
1512+ビットを検査するだけで最初のフラグメントを許可することができる。
15451513 .IP
15461514 \&... \fB4 & 0x3FFF = 0 &&\fP ...
15471515 .IP
1548-Last test: the first byte past the IP header (the type) is 0. This is where
1549-we have to use the @syntax. The length of the IP header (IHL) in 32 bit
1550-words is stored in the right half of byte 0 of the IP header itself.
1516+最後の検査として、 IP ヘッダー直後のバイト (ICMP タイプ) が 0 かを確認する。 ここで @ 記法を使う必要がある。 IP ヘッダーの長さ
1517+(IHL) は IP ヘッダー自身のバイト 0 の右半分に 32 ビットワードで格納されている。
15511518 .IP
15521519 \&... \fB0 >> 22 & 0x3C @ 0 >> 24 = 0\fP"
15531520 .IP
1554-The first 0 means read bytes 0\-3, \fB>>22\fP means shift that 22 bits
1555-to the right. Shifting 24 bits would give the first byte, so only 22 bits is
1556-four times that plus a few more bits. \fB&3C\fP then eliminates the two extra
1557-bits on the right and the first four bits of the first byte. For instance,
1558-if IHL=5, then the IP header is 20 (4 x 5) bytes long. In this case, bytes
1559-0\-1 are (in binary) xxxx0101 yyzzzzzz, \fB>>22\fP gives the 10 bit
1560-value xxxx0101yy and \fB&3C\fP gives 010100. \fB@\fP means to use this number as a
1561-new offset into the packet, and read four bytes starting from there. This is
1562-the first 4 bytes of the ICMP payload, of which byte 0 is the ICMP
1563-type. Therefore, we simply shift the value 24 to the right to throw out all
1564-but the first byte and compare the result with 0.
1521+最初の 0 はバイト 0\-3 を読み出し、 \fB>>22\fP はその値を 22 ビット右にシフトすることを意味する。 24
1522+ビットシフトすると最初のバイトが得られるので、 22 ビットだけシフトすると (少し余計なビットが付いているが) その 4 倍の値が得られる。
1523+\fB&3C\fP で右側の余計な 2 ビットと最初のバイトの先頭 4 ビットを取り除く。 例えば、 IHL が 5 の場合 IP ヘッダーは 20 バイト
1524+(4 x 5) である。 この場合、バイト 0\-1 は (バイナリで) xxxx0101 yyzzzzzz であり、 \fB>>22\fP
1525+により 10 ビットの値 xxxx0101yy が得られ、 \fB&3C\fP で 010100 が得られる。 \fB@\fP
1526+は、この数字をパケットの新しいオフセットとして使用し、 この地点から始まる 4 バイトを読み出すことを意味する。 この 4 バイトは ICMP
1527+ペイロードの最初の 4 バイトであり、 バイト 0 が ICMP タイプである。 したがって、この値を 24
1528+ビット右にシフトして、最初のバイト以外をすべて取り除き、 その結果を 0 と比較するだけでよい。
15651529 .PP
15661530 例:
15671531 .IP
1568-TCP payload bytes 8\-12 is any of 1, 2, 5 or 8
1532+TCP ペイロードのバイト 8\-12 が 1, 2, 5, 8 のいずれかかを検査する
15691533 .IP
1570-First we test that the packet is a tcp packet (similar to ICMP).
1534+まず、パケットが TCP パケットであるかを検査する (ICMP と同様)。
15711535 .IP
15721536 \-\-u32 "\fB6 & 0xFF = 6 &&\fP ...
15731537 .IP
1574-Next, test that it is not a fragment (same as above).
1538+次に、フラグメントでないことを検査する (上記と同じ)。
15751539 .IP
15761540 \&... \fB0 >> 22 & 0x3C @ 12 >> 26 & 0x3C @ 8 = 1,2,5,8\fP"
15771541 .IP
1578-\fB0>>22&3C\fP as above computes the number of bytes in the IP
1579-header. \fB@\fP makes this the new offset into the packet, which is the start
1580-of the TCP header. The length of the TCP header (again in 32 bit words) is
1581-the left half of byte 12 of the TCP header. The \fB12>>26&3C\fP
1582-computes this length in bytes (similar to the IP header before). "@" makes
1583-this the new offset, which is the start of the TCP payload. Finally, 8 reads
1584-bytes 8\-12 of the payload and \fB=\fP checks whether the result is any of 1, 2,
1585-5 or 8.
1542+上で説明した通り \fB0>>22&3C\fP で IP ヘッダーのバイト数を計算する。 \fB@\fP
1543+でこの値をパケットの新しいオフセットとし、これは TCP ヘッダーの先頭である。 TCP ヘッダー長 (これも 32 ビットワード) は TCP
1544+ヘッダーのバイト 12 の左半分にある。 \fB12>>26&3C\fP で TCP ヘッダーのバイト数を計算する (IP
1545+ヘッダーの場合と同様)。 "@" を使ってこれを新しいオフセットに設定する。この時点で TCP ペイロードの先頭を指している。 最後に、8
1546+でペイロードのバイト 8\-12 を読み出し、 \fB=\fP を使って取り出した値が 1, 2, 5, 8 のいずれかであるかチェックする。
15861547 .SS udp
15871548 これらの拡張は `\-\-protocol udp' が指定された場合に利用できる。 以下のオプションが提供される。
15881549 .TP
@@ -1597,12 +1558,11 @@ bytes 8\-12 of the payload and \fB=\fP checks whether the result is any of 1, 2,
15971558 .\" @TARGET@
15981559 iptables は拡張ターゲットモジュールを使うことができる: 以下のものが、 標準的なディストリビューションに含まれている。
15991560 .SS AUDIT
1600-This target allows to create audit records for packets hitting the target.
1601-It can be used to record accepted, dropped, and rejected packets. See
1602-auditd(8) for additional details.
1561+このターゲットを使うと、このターゲットにヒットしたパケットに対する監査 (audit) レコードを作成することができる。
1562+許可/廃棄/拒否されたパケットを記録するのに使用できる。 詳細については auditd(8) を参照。
16031563 .TP
16041564 \fB\-\-type\fP {\fBaccept\fP|\fBdrop\fP|\fBreject\fP}
1605-Set type of audit record.
1565+監査レコード種別を設定する。
16061566 .PP
16071567 例:
16081568 .IP
@@ -1620,86 +1580,75 @@ particularly useful, if you need to work around old applications such as
16201580 dhcp clients, that do not work well with checksum offloads, but don't want
16211581 to disable checksum offload in your device.
16221582 .SS CLASSIFY
1623-This module allows you to set the skb\->priority value (and thus classify
1624-the packet into a specific CBQ class).
1583+このモジュールを使うと skb\->priority の値を設定できる (その結果、そのパケットを特定の CBQ クラスに分類できる)。
16251584 .TP
16261585 \fB\-\-set\-class\fP \fImajor\fP\fB:\fP\fIminor\fP
1627-Set the major and minor class value. The values are always interpreted as
1628-hexadecimal even if no 0x prefix is given.
1586+メジャークラスとマイナークラスの値を設定する。値は常に 16 進数として解釈される。 0x が前に付いていない場合であっても 16 進数と解釈される。
16291587 .SS "CLUSTERIP (IPv4 の場合)"
1630-This module allows you to configure a simple cluster of nodes that share a
1631-certain IP and MAC address without an explicit load balancer in front of
1632-them. Connections are statically distributed between the nodes in this
1633-cluster.
1588+このモジュールを使うと、 ノードの前段に明示的に負荷分散装置を置かずに、 特定の IP アドレスと MAC
1589+アドレスを共有するノードの簡単なクラスターを構成することができる。 コネクションは、このクラスターのノード間で静的に分散される。
16341590 .TP
16351591 \fB\-\-new\fP
1636-Create a new ClusterIP. You always have to set this on the first rule for a
1637-given ClusterIP.
1592+新しい ClusterIP を作成する。 このオプションは、ここで指定する ClusterIP を使うルールの中で一番最初に設定しなければならない。
16381593 .TP
16391594 \fB\-\-hashmode\fP \fImode\fP
1640-Specify the hashing mode. Has to be one of \fBsourceip\fP,
1641-\fBsourceip\-sourceport\fP, \fBsourceip\-sourceport\-destport\fP.
1595+ハッシュモードを指定する。 \fBsourceip\fP, \fBsourceip\-sourceport\fP,
1596+\fBsourceip\-sourceport\-destport\fP のいずれかでなければならない。
16421597 .TP
16431598 \fB\-\-clustermac\fP \fImac\fP
1644-Specify the ClusterIP MAC address. Has to be a link\-layer multicast address
1599+ClusterIP の MAC アドレスを指定する。 リンク層のマルチキャストアドレスでなければならない。
16451600 .TP
16461601 \fB\-\-total\-nodes\fP \fInum\fP
1647-Number of total nodes within this cluster.
1602+このクラスターの総ノード数。
16481603 .TP
16491604 \fB\-\-local\-node\fP \fInum\fP
1650-Local node number within this cluster.
1605+このクラスターのローカルノード番号。
16511606 .TP
16521607 \fB\-\-hash\-init\fP \fIrnd\fP
1653-Specify the random seed used for hash initialization.
1608+ハッシュの初期化に使用される乱数シード値を指定する。
16541609 .SS CONNMARK
16551610 このモジュールは、 コネクションに関連付けられた netfilter の mark 値を設定する。 mark は 32 ビット幅である。
16561611 .TP
16571612 \fB\-\-set\-xmark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
1658-Zero out the bits given by \fImask\fP and XOR \fIvalue\fP into the ctmark.
1613+\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と ctmark の XOR を取る。
16591614 .TP
16601615 \fB\-\-save\-mark\fP [\fB\-\-nfmask\fP \fInfmask\fP] [\fB\-\-ctmask\fP \fIctmask\fP]
1661-Copy the packet mark (nfmark) to the connection mark (ctmark) using the
1662-given masks. The new nfmark value is determined as follows:
1616+指定されたマスクを使って、 パケットマーク (nfmark) をコネクションマーク (ctmark) にコピーする。 新しい ctmark
1617+値は以下のように決定される。
16631618 .IP
16641619 ctmark = (ctmark & ~ctmask) ^ (nfmark & nfmask)
16651620 .IP
1666-i.e. \fIctmask\fP defines what bits to clear and \fInfmask\fP what bits of the
1667-nfmark to XOR into the ctmark. \fIctmask\fP and \fInfmask\fP default to
1668-0xFFFFFFFF.
1621+\fIctmask\fP はどのビットをクリアするかを規定し、 \fInfmask\fP は nfmark のどのビットを ctmark と XOR
1622+するかを規定する。 \fIctmask\fP と \fInfmask\fP のデフォルト値は 0xFFFFFFFF である。
16691623 .TP
16701624 \fB\-\-restore\-mark\fP [\fB\-\-nfmask\fP \fInfmask\fP] [\fB\-\-ctmask\fP \fIctmask\fP]
1671-Copy the connection mark (ctmark) to the packet mark (nfmark) using the
1672-given masks. The new ctmark value is determined as follows:
1625+指定されたマスクを使って、 コネクションマーク (ctmark) をパケットマーク (nfmark) にコピーする。 新しい nfmark
1626+値は以下のように決定される。
16731627 .IP
16741628 nfmark = (nfmark & ~\fInfmask\fP) ^ (ctmark & \fIctmask\fP);
16751629 .IP
1676-i.e. \fInfmask\fP defines what bits to clear and \fIctmask\fP what bits of the
1677-ctmark to XOR into the nfmark. \fIctmask\fP and \fInfmask\fP default to
1678-0xFFFFFFFF.
1630+\fInfmask\fP はどのビットをクリアするかを規定し、 \fIctmask\fP は ctmark のどのビットを nfmark と XOR
1631+するかを規定する。 \fIctmask\fP と \fInfmask\fP のデフォルト値は 0xFFFFFFFF である。
16791632 .IP
1680-\fB\-\-restore\-mark\fP is only valid in the \fBmangle\fP table.
1633+\fB\-\-restore\-mark\fP は \fBmangle\fP テーブルでのみ有効である。
16811634 .PP
1682-The following mnemonics are available for \fB\-\-set\-xmark\fP:
1635+以下の簡易表現が \fB\-\-set\-xmark\fP の代わりに利用できる。
16831636 .TP
16841637 \fB\-\-and\-mark\fP \fIbits\fP
1685-Binary AND the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark
1686-0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP.)
1638+ctmark と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-xmark 0/\fP\fIinvbits\fP の簡易表現、
1639+\fIinvbits\fP は \fIbits\fP のビット単位の否定である)。
16871640 .TP
16881641 \fB\-\-or\-mark\fP \fIbits\fP
1689-Binary OR the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
1690-\fIbits\fP\fB/\fP\fIbits\fP.)
1642+ctmark と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/\fP\fIbits\fP の簡易表現)。
16911643 .TP
16921644 \fB\-\-xor\-mark\fP \fIbits\fP
1693-Binary XOR the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
1694-\fIbits\fP\fB/0\fP.)
1645+ctmark と \fIbits\fP のビット XOR を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/0\fP の簡易表現)。
16951646 .TP
16961647 \fB\-\-set\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
1697-Set the connection mark. If a mask is specified then only those bits set in
1698-the mask are modified.
1648+コネクションマークを設定する。 mask が指定された場合、 mask で指定されたビットだけが変更される。
16991649 .TP
17001650 \fB\-\-save\-mark\fP [\fB\-\-mask\fP \fImask\fP]
1701-Copy the nfmark to the ctmark. If a mask is specified, only those bits are
1702-copied.
1651+nfmark を ctmark へコピーする。 mask が指定された場合、そのビットだけがコピーされる。
17031652 .TP
17041653 \fB\-\-restore\-mark\fP [\fB\-\-mask\fP \fImask\fP]
17051654 ctmark を nfmark にコピーする。 mask が指定されると、 指定されたビットだけがコピーされる。 \fBmangle\fP
@@ -1726,11 +1675,11 @@ the packet, which is then used by the conntrack core when initializing a new
17261675 ct entry. This target is thus only valid in the "raw" table.
17271676 .TP
17281677 \fB\-\-notrack\fP
1729-Disables connection tracking for this packet.
1678+このパケットに対するコネクション追跡を無効にする。
17301679 .TP
17311680 \fB\-\-helper\fP \fIname\fP
1732-Use the helper identified by \fIname\fP for the connection. This is more
1733-flexible than loading the conntrack helper modules with preset ports.
1681+\fIname\fP で指定されるヘルパーをこのコネクションで使用する。 この方法は、あらかじめ設定したポートに対して conntrack
1682+ヘルパーモジュールをロードするよりも柔軟性がある。
17341683 .TP
17351684 \fB\-\-ctevents\fP \fIevent\fP[\fB,\fP...]
17361685 Only generate the specified conntrack events for this connection. Possible
@@ -1756,42 +1705,33 @@ available at /proc/sys/net/netfilter/nf_conntrack_*_timeout_*.
17561705 (mangle) する)。 さらに、 ルールによるチェックを止めさせる。 このターゲットは以下のオプションを取る。
17571706 .TP
17581707 \fB\-\-to\-destination\fP [\fIipaddr\fP[\fB\-\fP\fIipaddr\fP]][\fB:\fP\fIport\fP[\fB\-\fP\fIport\fP]]
1759-which can specify a single new destination IP address, an inclusive range of
1760-IP addresses. Optionally a port range, if the rule also specifies one of the
1761-following protocols: \fBtcp\fP, \fBudp\fP, \fBdccp\fP or \fBsctp\fP. If no port range
1762-is specified, then the destination port will never be modified. If no IP
1763-address is specified then only the destination port will be modified. In
1764-Kernels up to 2.6.10 you can add several \-\-to\-destination options. For those
1765-kernels, if you specify more than one destination address, either via an
1766-address range or multiple \-\-to\-destination options, a simple round\-robin
1767-(one after another in cycle) load balancing takes place between these
1768-addresses. Later Kernels (>= 2.6.11\-rc1) don't have the ability to NAT
1769-to multiple ranges anymore.
1708+1 つの新しい宛先 IP アドレス、 または IP アドレスの範囲が指定できる。 また、ルールでプロトコルとして \fBtcp\fP, \fBudp\fP,
1709+\fBdccp\fP, \fBsctp\fP のいずれが指定されている場合は、ポートの範囲を指定することもできる。 ポートの範囲が指定されていない場合、
1710+宛先ポートは変更されない。 IP アドレスが指定されなかった場合は、 宛先ポートだけが変更される。 2.6.10 以前のカーネルでは、 複数の
1711+\-\-to\-destination オプションを指定することができる。 これらのカーネルでは、 アドレスの範囲指定や \-\-to\-destination
1712+オプションの複数回指定により 2 つ以上の宛先アドレスを指定した場合、 それらのアドレスを使った単純なラウンドロビンによる負荷分散が行われる。
1713+それ以降のカーネル (>= 2.6.11\-rc1) には複数の範囲を NAT する機能は存在しない。
17701714 .TP
17711715 \fB\-\-random\fP
1772-If option \fB\-\-random\fP is used then port mapping will be randomized (kernel
1773->= 2.6.22).
1716+\fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.22 以降)。
17741717 .TP
17751718 \fB\-\-persistent\fP
1776-Gives a client the same source\-/destination\-address for each connection.
1777-This supersedes the SAME target. Support for persistent mappings is
1778-available from 2.6.29\-rc2.
1719+クライアントの各コネクションに同じ送信元アドレス/宛先アドレスを割り当てる。 これは SAME ターゲットよりも優先される。 persistent
1720+マッピングのサポートは 2.6.29\-rc2 以降で利用可能である。
17791721 .TP
1780-IPv6 support available since Linux kernels >= 3.7.
1781-.SS "DNPT (IPv6 の場合)"
1782-Provides stateless destination IPv6\-to\-IPv6 Network Prefix Translation (as
1783-described by RFC 6296).
1722+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
1723+.SS "DNPT (IPv6 のみ)"
1724+(RFC 6296 で説明されている) ステートレス IPv6\-to\-IPv6 宛先ネットワークプレフィックス変換を提供する。
17841725 .PP
1785-You have to use this target in the \fBmangle\fP table, not in the \fBnat\fP
1786-table. It takes the following options:
1726+このターゲットは \fBnat\fP テーブルではなく \fBmangle\fP テーブルで使わなければならない。 以下のオプションを取る。
17871727 .TP
17881728 \fB\-\-src\-pfx\fP [\fIprefix/\fP\fIlength]\fP
1789-Set source prefix that you want to translate and length
1729+変換を行う送信元プレフィックスとその長さを設定する。
17901730 .TP
17911731 \fB\-\-dst\-pfx\fP [\fIprefix/\fP\fIlength]\fP
1792-Set destination prefix that you want to use in the translation and length
1732+変換を行う宛先プレフィックスとその長さを設定する。
17931733 .PP
1794-You have to use the SNPT target to undo the translation. Example:
1734+変換を取り消すには SNPT ターゲットを使わなければならない。 例:
17951735 .IP
17961736 ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0 \-j SNPT
17971737 \-\-src\-pfx fd00::/64 \-\-dst\-pfx 2001:e20:2000:40f::/64
@@ -1799,12 +1739,11 @@ ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0 \-j SNPT
17991739 ip6tables \-t mangle \-I PREROUTING \-i wlan0 \-d 2001:e20:2000:40f::/64 \-j DNPT
18001740 \-\-src\-pfx 2001:e20:2000:40f::/64 \-\-dst\-pfx fd00::/64
18011741 .PP
1802-You may need to enable IPv6 neighbor proxy:
1742+IPv6 neighbor proxy を有効にする必要があるかもしれない。
18031743 .IP
18041744 sysctl \-w net.ipv6.conf.all.proxy_ndp=1
18051745 .PP
1806-You also have to use the \fBNOTRACK\fP target to disable connection tracking
1807-for translated flows.
1746+また、変換されたフローに対するコネクション追跡を無効にするには \fBNOTRACK\fP ターゲットを使用する必要がある。
18081747 .SS DSCP
18091748 このターゲットは、 IPv4 パケットの TOS ヘッダーにある DSCP ビットの値の書き換えを可能にする。 これはパケットを操作するので、
18101749 mangle テーブルでのみ使用できる。
@@ -1820,23 +1759,21 @@ DSCP フィールドの DiffServ クラスを設定する。
18201759 \fB\-\-ecn\-tcp\-remove\fP
18211760 TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。 当然、 \fB\-p tcp\fP
18221761 オプションとの組合わせでのみ使用できる。
1823-.SS "HL (IPv6 の場合)"
1824-This is used to modify the Hop Limit field in IPv6 header. The Hop Limit
1825-field is similar to what is known as TTL value in IPv4. Setting or
1826-incrementing the Hop Limit field can potentially be very dangerous, so it
1827-should be avoided at any cost. This target is only valid in \fBmangle\fP table.
1762+.SS "HL (IPv6 のみ)"
1763+このターゲットを使うと IPv6 ヘッダーの Hop Limit フィールドを変更することができる。 Hop Limit フィールドは IPv4 の
1764+TTL 値と同じようなものである。 Hop Limit フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。
1765+したがって、可能な限り避けるべきである。 このターゲットは \fBmangle\fP テーブルでのみ有効である。
18281766 .PP
1829-\fBDon't ever set or increment the value on packets that leave your local
1830-network!\fP
1767+\fB決してローカルネットワーク内に留まるパケットのフィールド値を設定したり増やしたりしないこと!\fP
18311768 .TP
18321769 \fB\-\-hl\-set\fP \fIvalue\fP
1833-Set the Hop Limit to `value'.
1770+Hop Limit を `value' に設定する。
18341771 .TP
18351772 \fB\-\-hl\-dec\fP \fIvalue\fP
1836-Decrement the Hop Limit `value' times.
1773+Hop Limit を `value' 回減算する。
18371774 .TP
18381775 \fB\-\-hl\-inc\fP \fIvalue\fP
1839-Increment the Hop Limit `value' times.
1776+Hop Limit を `value' 回加算する。
18401777 .SS HMARK
18411778 Like MARK, i.e. set the fwmark, but the mark is calculated from hashing
18421779 packet selector at choice. You have also to specify the mark range and,
@@ -1883,7 +1820,7 @@ An 8 bit field with layer 4 protocol number.
18831820 \fB\-\-hmark\-rnd\fP \fIvalue\fP
18841821 A 32 bit random custom value to feed hash calculation.
18851822 .PP
1886-\fIExamples:\fP
1823+\fI例\fP:
18871824 .PP
18881825 iptables \-t mangle \-A PREROUTING \-m conntrack \-\-ctstate NEW
18891826 \-j HMARK \-\-hmark\-tuple ct,src,dst,proto \-\-hmark\-offset 10000
@@ -1944,20 +1881,17 @@ iptables \-A INPUT \-p tcp \-\-dport 22 \-j LED \-\-led\-trigger\-id ssh
19441881 Then attach the new trigger to an LED:
19451882 echo netfilter\-ssh >/sys/class/leds/\fIledname\fP/trigger
19461883 .SS LOG
1947-Turn on kernel logging of matching packets. When this option is set for a
1948-rule, the Linux kernel will print some information on all matching packets
1949-(like most IP/IPv6 header fields) via the kernel log (where it can be read
1950-with \fIdmesg(1)\fP or read in the syslog).
1884+マッチしたパケットをカーネルログに記録する。 このオプションがルールに対して設定されると、 Linux
1885+カーネルはマッチしたパケットについての何らかの情報 (多くの IP/IPv6 ヘッダーフィールドなど) を カーネルログに表示する (カーネルログは
1886+\fIdmesg\fP(1) や syslog で参照できる)。
19511887 .PP
1952-This is a "non\-terminating target", i.e. rule traversal continues at the
1953-next rule. So if you want to LOG the packets you refuse, use two separate
1954-rules with the same matching criteria, first using target LOG then DROP (or
1955-REJECT).
1888+これは "非終了ターゲット" である。 すなわち、 ルールの探索は次のルールへと継続される。 よって、 拒否するパケットをログ記録したければ、
1889+同じマッチング判断基準を持つ 2 つのルールを使用し、 最初のルールで LOG ターゲットを、 次のルールで DROP (または REJECT)
1890+ターゲットを指定する。
19561891 .TP
19571892 \fB\-\-log\-level\fP \fIlevel\fP
1958-Level of logging, which can be (system\-specific) numeric or a mnemonic.
1959-Possible values are (in decreasing order of priority): \fBemerg\fP, \fBalert\fP,
1960-\fBcrit\fP, \fBerror\fP, \fBwarning\fP, \fBnotice\fP, \fBinfo\fP or \fBdebug\fP.
1893+ロギングレベル。 (システム固有の) 数値かシンボル名を指定する。 指定できる値は (優先度が高い順に) \fBemerg\fP, \fBalert\fP,
1894+\fBcrit\fP, \fBerror\fP, \fBwarning\fP, \fBnotice\fP, \fBinfo\fP, \fBdebug\fP である。
19611895 .TP
19621896 \fB\-\-log\-prefix\fP \fIprefix\fP
19631897 指定したプレフィックスをログメッセージの前に付ける。
@@ -1974,35 +1908,31 @@ TCP パケットヘッダーのオプションをログに記録する。
19741908 IP/IPv6 パケットヘッダーのオプションをログに記録する。
19751909 .TP
19761910 \fB\-\-log\-uid\fP
1977-Log the userid of the process which generated the packet.
1911+パケットを生成したプロセスのユーザー ID をログに記録する。
19781912 .SS MARK
1979-This target is used to set the Netfilter mark value associated with the
1980-packet. It can, for example, be used in conjunction with routing based on
1981-fwmark (needs iproute2). If you plan on doing so, note that the mark needs
1982-to be set in the PREROUTING chain of the mangle table to affect routing.
1983-The mark field is 32 bits wide.
1913+このターゲットを使うと、 そのパケットに関連付けられる Netfilter マーク値を設定する。 例えば、 fwmark に基づくルーティング
1914+(iproute2 が必要) と組み合わせて使うことができる。 そうする場合には、 ルーティング時に考慮されるようにするには、 mangle テーブルの
1915+PREROUTING チェインでマークを設定する必要がある。 マークフィールドは 32 ビット幅である。
19841916 .TP
19851917 \fB\-\-set\-xmark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
1986-Zeroes out the bits given by \fImask\fP and XORs \fIvalue\fP into the packet mark
1987-("nfmark"). If \fImask\fP is omitted, 0xFFFFFFFF is assumed.
1918+\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と packet mark ("nfmark") の XOR を取る。
1919+\fImask\fP が省略された場合は 0xFFFFFFFF とみなされる。
19881920 .TP
19891921 \fB\-\-set\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
1990-Zeroes out the bits given by \fImask\fP and ORs \fIvalue\fP into the packet
1991-mark. If \fImask\fP is omitted, 0xFFFFFFFF is assumed.
1922+\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と packet mark の OR を取る。 \fImask\fP が省略された場合は
1923+0xFFFFFFFF とみなされる。
19921924 .PP
1993-The following mnemonics are available:
1925+以下の簡易表現が利用できる。
19941926 .TP
19951927 \fB\-\-and\-mark\fP \fIbits\fP
1996-Binary AND the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark
1997-0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP.)
1928+nfmark と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-xmark 0/\fP\fIinvbits\fP の簡易表現、
1929+\fIinvbits\fP は \fIbits\fP のビット単位の否定である)。
19981930 .TP
19991931 \fB\-\-or\-mark\fP \fIbits\fP
2000-Binary OR the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
2001-\fIbits\fP\fB/\fP\fIbits\fP.)
1932+nfmark と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/\fP\fIbits\fP の簡易表現)。
20021933 .TP
20031934 \fB\-\-xor\-mark\fP \fIbits\fP
2004-Binary XOR the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
2005-\fIbits\fP\fB/0\fP.)
1935+nfmark と \fIbits\fP のビット XOR を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/0\fP の簡易表現)。
20061936 .SS MASQUERADE
20071937 このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP チェインのみで有効である。 動的割り当て IP (ダイヤルアップ)
20081938 コネクションの場合にのみ使うべきである。 固定 IP アドレスならば、 SNAT ターゲットを使うべきである。 マスカレーディングは、
@@ -2011,33 +1941,28 @@ Binary XOR the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
20111941 (そのため、 前回確立されたコネクションは失われる) 場合、 この動作は正しい。
20121942 .TP
20131943 \fB\-\-to\-ports\fP \fIport\fP[\fB\-\fP\fIport\fP]
2014-This specifies a range of source ports to use, overriding the default
2015-\fBSNAT\fP source port\-selection heuristics (see above). This is only valid if
2016-the rule also specifies one of the following protocols: \fBtcp\fP, \fBudp\fP,
2017-\fBdccp\fP or \fBsctp\fP.
1944+このオプションは、 使用する送信元ポートの範囲を指定し、 デフォルトの \fBSNAT\fP 送信元ポートの選択方法 (上記) よりも優先される。
1945+ルールがプロトコルとして \fBtcp\fP, \fBudp\fP, \fBdccp\fP, \fBsctp\fP を指定している場合にのみ有効である。
20181946 .TP
20191947 \fB\-\-random\fP
2020-Randomize source port mapping If option \fB\-\-random\fP is used then port
2021-mapping will be randomized (kernel >= 2.6.21).
1948+送信元ポートのマッピングをランダム化する。 \fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル
1949+2.6.21 以降)。
20221950 .TP
2023-IPv6 support available since Linux kernels >= 3.7.
1951+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
20241952 .SS "MIRROR (IPv4 の場合)"
20251953 実験的なデモンストレーション用のターゲットであり、 IP ヘッダーの送信元と宛先フィールドを入れ換え、 パケットを再送信するものである。 これは
20261954 \fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインと、 これらのチェインから呼び出される
20271955 ユーザー定義チェインだけで有効である。 ループ等の問題を回避するため、 外部に送られるパケットは
20281956 いかなるパケットフィルタリングチェイン・コネクション追跡・NAT からも 監視\fBされない\fP。
20291957 .SS NETMAP
2030-This target allows you to statically map a whole network of addresses onto
2031-another network of addresses. It can only be used from rules in the \fBnat\fP
2032-table.
1958+このターゲットを使うと、あるアドレスネットワーク全体を別のネットワークアドレスに静的にマッピングできる。 このターゲットは \fBnat\fP
1959+テーブルでルールでのみ使用できる。
20331960 .TP
20341961 \fB\-\-to\fP \fIaddress\fP[\fB/\fP\fImask\fP]
2035-Network address to map to. The resulting address will be constructed in the
2036-following way: All 'one' bits in the mask are filled in from the new
2037-`address'. All bits that are zero in the mask are filled in from the
2038-original address.
1962+マッピング先のネットワークアドレス。 変換後のアドレスは以下のようにして構築される。 mask で '1' になっているビットは新しいアドレスが使われ、
1963+mask で '0' になっているビットは元のアドレスが使われる。
20391964 .TP
2040-IPv6 support available since Linux kernels >= 3.7.
1965+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
20411966 .SS NFLOG
20421967 このターゲットは、 マッチしたパケットをログに記録する機能を提供する。 このターゲットがルールに設定されると、 Linux
20431968 カーネルはそのログに記録するためにそのパケットをロードされたロギングバックエンドに渡す。 このターゲットは通常は nfnetlink_log
@@ -2061,43 +1986,35 @@ IPv6 support available since Linux kernels >= 3.7.
20611986 ユーザー空間にパケットを送信する前に、カーネル内部のキューに入れるパケット数 (nfnetlink_log の場合のみ利用できる)。
20621987 大きめの値を指定するほどパケット単位のオーバヘッドは少なくなるが、 パケットがユーザー空間に届くまでの遅延が大きくなる。 デフォルト値は 1 である。
20631988 .SS NFQUEUE
2064-This target passes the packet to userspace using the \fBnfnetlink_queue\fP
2065-handler. The packet is put into the queue identified by its 16\-bit queue
2066-number. Userspace can inspect and modify the packet if desired. Userspace
2067-must then drop or reinject the packet into the kernel. Please see
2068-libnetfilter_queue for details. \fBnfnetlink_queue\fP was added in Linux
2069-2.6.14. The \fBqueue\-balance\fP option was added in Linux 2.6.31,
2070-\fBqueue\-bypass\fP in 2.6.39.
1989+このターゲットは、 \fBnfnetlink_queue\fP ハンドラーを使ってそのパケットをユーザー空間に渡す。 パケットは 16
1990+ビットのキュー番号で指定されたキューに入れられる。 ユーザー空間では好きなようにパケットを検査し変更できる。
1991+ユーザー空間側では、必ずそのパケットを破棄するかカーネルに戻すかのどちらかをしなければならない。 詳細は libnetfilter_queue
1992+を参照のこと。
1993+\fBnfnetlink_queue\fP は Linux 2.6.14 で追加された。 \fBqueue\-balance\fP オプションは Linux
1994+2.6.31 で、 \fBqueue\-bypass\fP は Linux 2.6.39 で追加された。
20711995 .TP
20721996 \fB\-\-queue\-num\fP \fIvalue\fP
2073-This specifies the QUEUE number to use. Valid queue numbers are 0 to
2074-65535. The default value is 0.
1997+使用する QUEUE 番号を指定する。 有効なキュー番号は 0 から 65535 である。 デフォルトは 0 である。
20751998 .PP
20761999 .TP
20772000 \fB\-\-queue\-balance\fP \fIvalue\fP\fB:\fP\fIvalue\fP
2078-This specifies a range of queues to use. Packets are then balanced across
2079-the given queues. This is useful for multicore systems: start multiple
2080-instances of the userspace program on queues x, x+1, .. x+n and use
2081-"\-\-queue\-balance \fIx\fP\fB:\fP\fIx+n\fP". Packets belonging to the same connection
2082-are put into the same nfqueue.
2001+使用するキューの範囲を指定する。 パケットは指定された範囲のキューに分散される。 これはマルチコアシステムで有用である。
2002+ユーザー空間プログラムの複数インスタンスをキュー x, x+1, .. x+n で開始し、 "\-\-queue\-balance
2003+\fIx\fP\fB:\fP\fIx+n\fP" を使用する。 同じコネクションに所属するパケットは同じ nfqueue に入れられる。
20832004 .PP
20842005 .TP
20852006 \fB\-\-queue\-bypass\fP
2086-By default, if no userspace program is listening on an NFQUEUE, then all
2087-packets that are to be queued are dropped. When this option is used, the
2088-NFQUEUE rule behaves like ACCEPT instead, and the packet will move on to the
2089-next table.
2007+デフォルトでは、 どのユーザー空間プログラムも NFQUEUE をリッスンしていない場合、 キューされるはずのすべてのパケットが破棄される。
2008+このオプションを使うと、 NFQUEUE ルールは ACCEPT のような動作となり、 パケットは次のテーブルに進む。
20902009 .PP
20912010 .TP
20922011 \fB\-\-queue\-cpu\-fanout\fP
2093-Available starting Linux kernel 3.10. When used together with
2094-\fB\-\-queue\-balance\fP this will use the CPU ID as an index to map packets to
2095-the queues. The idea is that you can improve performance if there's a queue
2096-per CPU. This requires \fB\-\-queue\-balance\fP to be specified.
2012+Linux カーネル 3.10 以降で利用可能。 \fB\-\-queue\-balance\fP
2013+とともに使用されると、このオプションはパケットをキューにマッピングする際のインデックスとして CPU ID を使用する。 これは、 CPU
2014+ごとにキューがある場合に性能を向上させようというものである。 このオプションを使うには \fB\-\-queue\-balance\fP を指定する必要がある。
20972015 .SS NOTRACK
2098-This extension disables connection tracking for all packets matching that
2099-rule. It is equivalent with \-j CT \-\-notrack. Like CT, NOTRACK can only be
2100-used in the \fBraw\fP table.
2016+このターゲットを使うと、そのルールにマッチした全てのパケットでコネクション追跡が無効になる。 これは \-j CT \-\-notrack と等価である。
2017+CT と同様、 NOTRACK は \fBraw\fP テーブルでのみ使用できる。
21012018 .SS RATEEST
21022019 The RATEEST target collects statistics, performs rate estimation calculation
21032020 and saves the results for later evaluation using the \fBrateest\fP match.
@@ -2112,25 +2029,20 @@ Rate measurement interval, in seconds, milliseconds or microseconds.
21122029 \fB\-\-rateest\-ewmalog\fP \fIvalue\fP
21132030 Rate measurement averaging time constant.
21142031 .SS REDIRECT
2115-This target is only valid in the \fBnat\fP table, in the \fBPREROUTING\fP and
2116-\fBOUTPUT\fP chains, and user\-defined chains which are only called from those
2117-chains. It redirects the packet to the machine itself by changing the
2118-destination IP to the primary address of the incoming interface
2119-(locally\-generated packets are mapped to the localhost address, 127.0.0.1
2120-for IPv4 and ::1 for IPv6).
2032+このターゲットは、 \fBnat\fP テーブルの \fBPREROUTING\fP チェインと \fBOUTPUT\fP チェイン、
2033+およびこれらチェインから呼び出されるユーザー定義チェインでのみ有効である。 このターゲットは、 宛先 IP
2034+をパケットを受信したインタフェースの最初のアドレスに変更することで、 パケットをそのマシン自身にリダイレクトする
2035+(ローカルで生成されたパケットはローカルホストのアドレス、 IPv4 では 127.0.0.1、 IPv6 では ::1 にマップされる)。
21212036 .TP
21222037 \fB\-\-to\-ports\fP \fIport\fP[\fB\-\fP\fIport\fP]
2123-This specifies a destination port or range of ports to use: without this,
2124-the destination port is never altered. This is only valid if the rule also
2125-specifies one of the following protocols: \fBtcp\fP, \fBudp\fP, \fBdccp\fP or
2126-\fBsctp\fP.
2038+このオプションは使用される宛先ポート・ポート範囲・複数ポートを指定する。 このオプションが指定されない場合、 宛先ポートは変更されない。
2039+ルールがプロトコルとして \fBtcp\fP, \fBudp\fP, \fBdccp\fP, \fBsctp\fP を指定している場合にのみ有効である。
21272040 .TP
21282041 \fB\-\-random\fP
2129-If option \fB\-\-random\fP is used then port mapping will be randomized (kernel
2130->= 2.6.22).
2042+\fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.22 以降)。
21312043 .TP
2132-IPv6 support available starting Linux kernels >= 3.7.
2133-.SS "REJECT (IPv6 の場合)"
2044+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
2045+.SS "REJECT (IPv6 のみ)"
21342046 マッチしたパケットの応答としてエラーパケットを送信するために使われる。
21352047 エラーパケットを送らなければ、 \fBDROP\fP と同じであり、 TARGET を終了し、
21362048 ルールの探索を終了する。 このターゲットは、 \fBINPUT\fP, \fBFORWARD\fP,
@@ -2139,15 +2051,13 @@ IPv6 support available starting Linux kernels >= 3.7.
21392051 制御する。
21402052 .TP
21412053 \fB\-\-reject\-with\fP \fItype\fP
2142-The type given can be \fBicmp6\-no\-route\fP, \fBno\-route\fP,
2143-\fBicmp6\-adm\-prohibited\fP, \fBadm\-prohibited\fP, \fBicmp6\-addr\-unreachable\fP,
2144-\fBaddr\-unreach\fP, or \fBicmp6\-port\-unreachable\fP, which return the appropriate
2145-ICMPv6 error message (\fBicmp6\-port\-unreachable\fP is the default). Finally,
2146-the option \fBtcp\-reset\fP can be used on rules which only match the TCP
2147-protocol: this causes a TCP RST packet to be sent back. This is mainly
2148-useful for blocking \fIident\fP (113/tcp) probes which frequently occur when
2149-sending mail to broken mail hosts (which won't accept your mail otherwise).
2150-\fBtcp\-reset\fP can only be used with kernel versions 2.6.14 or later.
2054+指定できるタイプは \fBicmp6\-no\-route\fP, \fBno\-route\fP, \fBicmp6\-adm\-prohibited\fP,
2055+\fBadm\-prohibited\fP, \fBicmp6\-addr\-unreachable\fP, \fBaddr\-unreach\fP,
2056+\fBicmp6\-port\-unreachable\fP である。 指定したタイプの適切な IPv6 エラーメッセージが返される
2057+(\fBicmp6\-port\-unreachable\fP がデフォルトである)。 さらに、 TCP プロトコルにのみマッチするルールに対して、 オプション
2058+\fBtcp\-reset\fP を使うことができる。 このオプションを使うと、 TCP RST パケットが送り返される。 主として \fIident\fP
2059+(113/tcp) による探査を阻止するのに役立つ。 \fIident\fP による探査は、 壊れている (メールを受け取らない) メールホストに
2060+メールが送られる場合に頻繁に起こる。 \fBtcp\-reset\fP はバージョン 2.6.14 以降のカーネルでのみ使用できる。
21512061 .SS "REJECT (IPv4 の場合)"
21522062 マッチしたパケットの応答としてエラーパケットを送信するために使われる。
21532063 エラーパケットを送らなければ、 \fBDROP\fP と同じであり、 TARGET を終了し、
@@ -2211,53 +2121,42 @@ the \fBmangle\fP table). The mark is 32 bits wide.
22112121 .PP
22122122 \-j SET を使用するには ipset のカーネルサポートが必要である。 標準のカーネルでは、 Linux 2.6.39 以降で提供されている。
22132123 .SS SNAT
2214-This target is only valid in the \fBnat\fP table, in the \fBPOSTROUTING\fP and
2215-\fBINPUT\fP chains, and user\-defined chains which are only called from those
2216-chains. It specifies that the source address of the packet should be
2217-modified (and all future packets in this connection will also be mangled),
2218-and rules should cease being examined. It takes the following options:
2124+このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP, \fBINPUT\fP チェイン、 これらのチェインから呼び出される
2125+ユーザー定義チェインのみで有効である。 このターゲットはパケットの送信元アドレスを修正する (このコネクションの以降のパケットも修正して分からなく
2126+(mangle) する)。 さらに、 ルールによるチェックを止めさせる。 このターゲットには以下のオプションがある:
22192127 .TP
22202128 \fB\-\-to\-source\fP [\fIipaddr\fP[\fB\-\fP\fIipaddr\fP]][\fB:\fP\fIport\fP[\fB\-\fP\fIport\fP]]
2221-which can specify a single new source IP address, an inclusive range of IP
2222-addresses. Optionally a port range, if the rule also specifies one of the
2223-following protocols: \fBtcp\fP, \fBudp\fP, \fBdccp\fP or \fBsctp\fP. If no port range
2224-is specified, then source ports below 512 will be mapped to other ports
2225-below 512: those between 512 and 1023 inclusive will be mapped to ports
2226-below 1024, and other ports will be mapped to 1024 or above. Where possible,
2227-no port alteration will occur. In Kernels up to 2.6.10, you can add several
2228-\-\-to\-source options. For those kernels, if you specify more than one source
2229-address, either via an address range or multiple \-\-to\-source options, a
2230-simple round\-robin (one after another in cycle) takes place between these
2231-addresses. Later Kernels (>= 2.6.11\-rc1) don't have the ability to NAT
2232-to multiple ranges anymore.
2129+1 つの新しい送信元 IP アドレス、 または IP アドレスの範囲が指定できる。 ルールでプロトコルとして \fBtcp\fP, \fBudp\fP,
2130+\fBdccp\fP, \fBsctp\fP が指定されている場合、 ポートの範囲を指定することもできる。 ポートの範囲が指定されていない場合、 512
2131+未満の送信元ポートは、 他の 512 未満のポートにマッピングされる。 512 〜 1023 までのポートは、 1024
2132+未満のポートにマッピングされる。 それ以外のポートは、 1024 以上のポートにマッピングされる。 可能であれば、 ポートの変換は起こらない。
2133+2.6.10 以前のカーネルでは、 複数の \-\-to\-source オプションを指定することができる。 これらのカーネルでは、 アドレスの範囲指定や
2134+\-\-to\-source オプションの複数回指定により 2 つ以上の送信元アドレスを指定した場合、
2135+それらのアドレスを使った単純なラウンド・ロビンが行われる。 それ以降のカーネル (>= 2.6.11\-rc1) には複数の範囲を NAT
2136+する機能は存在しない。
22332137 .TP
22342138 \fB\-\-random\fP
2235-If option \fB\-\-random\fP is used then port mapping will be randomized (kernel
2236->= 2.6.21).
2139+\fB\-\-random\fP オプションが使用されると、ポートマッピングはランダム化される (カーネル 2.6.21 以降)。
22372140 .TP
22382141 \fB\-\-persistent\fP
2239-Gives a client the same source\-/destination\-address for each connection.
2240-This supersedes the SAME target. Support for persistent mappings is
2241-available from 2.6.29\-rc2.
2142+クライアントの各コネクションに同じ送信元アドレス/宛先アドレスを割り当てる。 これは SAME ターゲットよりも優先される。 persistent
2143+マッピングのサポートは 2.6.29\-rc2 以降で利用可能である。
22422144 .PP
2243-Kernels prior to 2.6.36\-rc1 don't have the ability to \fBSNAT\fP in the
2244-\fBINPUT\fP chain.
2145+2.6.36\-rc1 より前のカーネルでは \fBINPUT\fP チェインで \fBSNAT\fP を使用できない。
22452146 .TP
2246-IPv6 support available since Linux kernels >= 3.7.
2247-.SS "SNPT (IPv6 の場合)"
2248-Provides stateless source IPv6\-to\-IPv6 Network Prefix Translation (as
2249-described by RFC 6296).
2147+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
2148+.SS "SNPT (IPv6 のみ)"
2149+(RFC 6296 で説明されている) ステートレス IPv6\-to\-IPv6 送信元ネットワークプレフィックス変換を提供する。
22502150 .PP
2251-You have to use this target in the \fBmangle\fP table, not in the \fBnat\fP
2252-table. It takes the following options:
2151+このターゲットは \fBnat\fP テーブルではなく \fBmangle\fP テーブルで使わなければならない。 以下のオプションを取る。
22532152 .TP
22542153 \fB\-\-src\-pfx\fP [\fIprefix/\fP\fIlength]\fP
2255-Set source prefix that you want to translate and length
2154+変換を行う送信元プレフィックスとその長さを設定する。
22562155 .TP
22572156 \fB\-\-dst\-pfx\fP [\fIprefix/\fP\fIlength]\fP
2258-Set destination prefix that you want to use in the translation and length
2157+変換を行う宛先プレフィックスとその長さを設定する。
22592158 .PP
2260-You have to use the DNPT target to undo the translation. Example:
2159+変換を取り消すには DNPT ターゲットを使わなければならない。 例:
22612160 .IP
22622161 ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0 \-j SNPT
22632162 \-\-src\-pfx fd00::/64 \-\-dst\-pfx 2001:e20:2000:40f::/64
@@ -2265,12 +2164,11 @@ ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0 \-j SNPT
22652164 ip6tables \-t mangle \-I PREROUTING \-i wlan0 \-d 2001:e20:2000:40f::/64 \-j DNPT
22662165 \-\-src\-pfx 2001:e20:2000:40f::/64 \-\-dst\-pfx fd00::/64
22672166 .PP
2268-You may need to enable IPv6 neighbor proxy:
2167+IPv6 neighbor proxy を有効にする必要があるかもしれない。
22692168 .IP
22702169 sysctl \-w net.ipv6.conf.all.proxy_ndp=1
22712170 .PP
2272-You also have to use the \fBNOTRACK\fP target to disable connection tracking
2273-for translated flows.
2171+また、変換されたフローに対するコネクション追跡を無効にするには \fBNOTRACK\fP ターゲットを使用する必要がある。
22742172 .SS TCPMSS
22752173 このターゲットを用いると、 TCP の SYN パケットの MSS 値を書き換え、 そのコネクションでの最大サイズを制御できる (通常は、
22762174 送信インターフェースの MTU から IPv4 では 40 を、 IPv6 では 60 を引いた値に制限する)。 もちろん \fB\-p tcp\fP
@@ -2308,64 +2206,56 @@ IP address.
23082206 .PP
23092207 これらのオプションはどちらか 1 つしか指定できない。
23102208 .SS TCPOPTSTRIP
2311-This target will strip TCP options off a TCP packet. (It will actually
2312-replace them by NO\-OPs.) As such, you will need to add the \fB\-p tcp\fP
2313-parameters.
2209+このターゲットは TCP パケットから TCP オプションを削除する (実際には TCPオプションを NO\-OP で置き換える)。
2210+このターゲットを使うには \fB\-p tcp\fP パラメーターを使う必要があるだろう。
23142211 .TP
23152212 \fB\-\-strip\-options\fP \fIoption\fP[\fB,\fP\fIoption\fP...]
2316-Strip the given option(s). The options may be specified by TCP option number
2317-or by symbolic name. The list of recognized options can be obtained by
2318-calling iptables with \fB\-j TCPOPTSTRIP \-h\fP.
2213+指定されたオプション (複数可) を削除する。 オプションは TCP オプション番号かシンボル名で指定する。 iptables を \fB\-j
2214+TCPOPTSTRIP \-h\fP で呼び出すと、指定できるオプションのシンボル名を取得できる。
23192215 .SS TEE
2320-The \fBTEE\fP target will clone a packet and redirect this clone to another
2321-machine on the \fBlocal\fP network segment. In other words, the nexthop must be
2322-the target, or you will have to configure the nexthop to forward it further
2323-if so desired.
2216+\fBTEE\fP ターゲットは、 パケットのクローンを作成し、
2217+クローンしたパケットを\fBローカル\fPネットワークセグメントにある別のマシンにリダイレクトする。
2218+言い換えると、ネクストホップがターゲットでなければならないということだ。
2219+つまり、必要に応じてネクストホップがさらにパケットを転送するように設定する必要があるということだ。
23242220 .TP
23252221 \fB\-\-gateway\fP \fIipaddr\fP
2326-Send the cloned packet to the host reachable at the given IP address. Use
2327-of 0.0.0.0 (for IPv4 packets) or :: (IPv6) is invalid.
2222+クローンしたパケットを指定した IP アドレスで届くホストに送信する。 (IPv4 の場合) 0.0.0.0、 (IPv6 の場合) ::
2223+は無効である。
23282224 .PP
2329-To forward all incoming traffic on eth0 to an Network Layer logging box:
2225+eth0 に届いたすべての入力トラフィックをネットワーク層のロギングボックスに転送する。
23302226 .PP
23312227 \-t mangle \-A PREROUTING \-i eth0 \-j TEE \-\-gateway 2001:db8::1
23322228 .SS TOS
2333-This module sets the Type of Service field in the IPv4 header (including the
2334-"precedence" bits) or the Priority field in the IPv6 header. Note that TOS
2335-shares the same bits as DSCP and ECN. The TOS target is only valid in the
2336-\fBmangle\fP table.
2229+このモジュールは IPv4 ヘッダーの Type of Service フィールド (上位ビットも含む) や IPv6 ヘッダーの Priority
2230+フィールドを設定する。 TOS は DSCP と ECN と同じビットを共有する点に注意すること。 TOS ターゲットは \fBmangle\fP
2231+テーブルでのみ有効である。
23372232 .TP
23382233 \fB\-\-set\-tos\fP \fIvalue\fP[\fB/\fP\fImask\fP]
2339-Zeroes out the bits given by \fImask\fP (see NOTE below) and XORs \fIvalue\fP into
2340-the TOS/Priority field. If \fImask\fP is omitted, 0xFF is assumed.
2234+\fImask\fP で指定されたビットを 0 にし (下の「注意」を参照)、 \fIvalue\fP と TOS/Priority フィールド の XOR
2235+を取る。 \fImask\fP が省略された場合は 0xFF とみなされる。
23412236 .TP
23422237 \fB\-\-set\-tos\fP \fIsymbol\fP
2343-You can specify a symbolic name when using the TOS target for IPv4. It
2344-implies a mask of 0xFF (see NOTE below). The list of recognized TOS names
2345-can be obtained by calling iptables with \fB\-j TOS \-h\fP.
2238+IPv4 の TOS ターゲットを使用する際にはシンボル名を指定することができる。 暗黙のうち 0xFF が mask として使用される
2239+(下の「注意」を参照)。 使用できる TOS 名のリストは iptables を \fB\-j TOS \-h\fP で呼び出すと取得できる。
23462240 .PP
2347-The following mnemonics are available:
2241+以下の簡易表現が利用できる。
23482242 .TP
23492243 \fB\-\-and\-tos\fP \fIbits\fP
2350-Binary AND the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos
2351-0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP. See NOTE
2352-below.)
2244+TOS 値と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-tos 0/\fP\fIinvbits\fP の簡易表現、
2245+\fIinvbits\fP は \fIbits\fP のビット単位の否定である。 下の「注意」を参照)
23532246 .TP
23542247 \fB\-\-or\-tos\fP \fIbits\fP
2355-Binary OR the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos\fP
2356-\fIbits\fP\fB/\fP\fIbits\fP. See NOTE below.)
2248+TOS 値と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-tos\fP \fIbits\fP\fB/\fP\fIbits\fP
2249+の簡易表現。下の「注意」を参照)
23572250 .TP
23582251 \fB\-\-xor\-tos\fP \fIbits\fP
2359-Binary XOR the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos\fP
2360-\fIbits\fP\fB/0\fP. See NOTE below.)
2361-.PP
2362-NOTE: In Linux kernels up to and including 2.6.38, with the exception of
2363-longterm releases 2.6.32 (>=.42), 2.6.33 (>=.15), and 2.6.35
2364-(>=.14), there is a bug whereby IPv6 TOS mangling does not behave as
2365-documented and differs from the IPv4 version. The TOS mask indicates the
2366-bits one wants to zero out, so it needs to be inverted before applying it to
2367-the original TOS field. However, the aformentioned kernels forgo the
2368-inversion which breaks \-\-set\-tos and its mnemonics.
2252+TOS 値と \fIbits\fP の XOR を取る (\fB\-\-set\-tos\fP \fIbits\fP\fB/0\fP の簡易表現。下の「注意」を参照)
2253+.PP
2254+注意: 2.6.38 以前の Linux カーネル (ただし、長期間サポートのリリース 2.6.32 (>=.42), 2.6.33
2255+(>=.15), 2.6.35 (>=.14) 以外) では、 IPv6 TOS mangling
2256+がドキュメントに書かれている通りに動作せず、IPv4 バージョンの場合と異なる動作をするというバグがある。 TOS mask はビットが 1
2257+の場合に対応するビットが 0 にすることを指示するので、 元の TOS フィールドに mask を適用する前に反転する必要がある。 しかしながら、
2258+上記のカーネルではこの反転が抜けており \-\-set\-tos と関連する簡易表現が正しく動作しない。
23692259 .SS TPROXY
23702260 このターゲットは、 \fBmangle\fP テーブルで、 \fBPREROUTING\fP チェインと、 \fBPREROUTING\fP チェインから呼び出される
23712261 ユーザー定義チェインでのみ有効である。 このターゲットは、 そのパケットをパケットヘッダーを変更せずにそのままローカルソケットにリダイレクトする。
@@ -2397,32 +2287,27 @@ for the policy of the built in chains.
23972287 .br
23982288 It can only be used in the \fBraw\fP table.
23992289 .SS "TTL (IPv4 の場合)"
2400-This is used to modify the IPv4 TTL header field. The TTL field determines
2401-how many hops (routers) a packet can traverse until it's time to live is
2402-exceeded.
2290+このターゲットを使うと、 IPv4 の TTL ヘッダーフィールドを変更できる。 TTL フィールドにより、 TTL
2291+がなくなるまでに、パケットが何ホップ (何個のルータ) を通過できるかが決定される。
24032292 .PP
2404-Setting or incrementing the TTL field can potentially be very dangerous, so
2405-it should be avoided at any cost. This target is only valid in \fBmangle\fP
2406-table.
2293+TTL フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。 したがって、可能な限り避けるべきである。 このターゲットは \fBmangle\fP
2294+テーブルでのみ有効である。
24072295 .PP
2408-\fBDon't ever set or increment the value on packets that leave your local
2409-network!\fP
2296+\fB決してローカルネットワーク内に留まるパケットのフィールド値を設定したり増やしたりしないこと!\fP
24102297 .TP
24112298 \fB\-\-ttl\-set\fP \fIvalue\fP
2412-Set the TTL value to `value'.
2299+TTL 値を `value' に設定する。
24132300 .TP
24142301 \fB\-\-ttl\-dec\fP \fIvalue\fP
2415-Decrement the TTL value `value' times.
2302+TTL 値を `value' 回減算する。
24162303 .TP
24172304 \fB\-\-ttl\-inc\fP \fIvalue\fP
2418-Increment the TTL value `value' times.
2305+TTL 値を `value' 回加算する。
24192306 .SS "ULOG (IPv4 の場合)"
2420-This is the deprecated ipv4\-only predecessor of the NFLOG target. It
2421-provides userspace logging of matching packets. When this target is set for
2422-a rule, the Linux kernel will multicast this packet through a \fInetlink\fP
2423-socket. One or more userspace processes may then subscribe to various
2424-multicast groups and receive the packets. Like LOG, this is a
2425-"non\-terminating target", i.e. rule traversal continues at the next rule.
2307+このターゲットは NFLOG ターゲットの前身で IPv4 専用である。現在は非推奨となっている。 マッチしたパケットを
2308+ユーザー空間でログ記録する機能を提供する。 このターゲットがルールに設定されると、 Linux カーネルは、 そのパケットを \fInetlink\fP
2309+ソケットを用いてマルチキャストする。 そして、 1 つ以上のユーザー空間プロセスが いろいろなマルチキャストグループに登録をおこない、
2310+パケットを受信する。 LOG と同様、 これは "非終了ターゲット" であり、 ルールの探索は次のルールへと継続される。
24262311 .TP
24272312 \fB\-\-ulog\-nlgroup\fP \fInlgroup\fP
24282313 パケットを送信する netlink グループ (1\-32) を指定する。 デフォルトの値は 1 である。
Show on old repository browser