diff options
Diffstat (limited to 'ja_JP.eucJP/man/man8/ipfw.8')
| -rw-r--r-- | ja_JP.eucJP/man/man8/ipfw.8 | 75 |
1 files changed, 53 insertions, 22 deletions
diff --git a/ja_JP.eucJP/man/man8/ipfw.8 b/ja_JP.eucJP/man/man8/ipfw.8 index 5c9e158cba..d78feb1ac3 100644 --- a/ja_JP.eucJP/man/man8/ipfw.8 +++ b/ja_JP.eucJP/man/man8/ipfw.8 @@ -1,9 +1,9 @@ .\" -.\" %FreeBSD: src/sbin/ipfw/ipfw.8,v 1.145 2004/06/09 20:10:37 ru Exp % +.\" %FreeBSD: src/sbin/ipfw/ipfw.8,v 1.150.2.1 2004/09/16 17:53:22 andre Exp % .\" .\" $FreeBSD$ .\" -.Dd June 9, 2004 +.Dd September 13, 2004 .Dt IPFW 8 .Os .Sh 名称 @@ -703,10 +703,7 @@ TCP リセット (RST) 通知を送出しようと試みます。 にバインドされた .Xr divert 4 ソケットに送出します。 -検索は終了し、元のパケットは受け付けられます -(ただし、以下のセクション -.Sx バグ -を参照して下さい)。 +検索は、その次のルールへ継続されます。 .It Cm unreach Ar code このルールにマッチしたパケットを破棄し、 コード @@ -964,6 +961,11 @@ IP データグラムのフラグメントであり、かつ、最初のフラグメントでない 全ての TCP もしくは UDP パケットにマッチします。 .Ar group は名前か数値で指定することができます。 +.It Cm jail Ar prisonID +prison ID が +.Ar prisonID +である jail によって送信された、またはそれに対して受信された +全ての TCP もしくは UDP パケットにマッチします。 .It Cm icmptypes Ar types .Ar types で指定したリスト中に存在する ICMP タイプを持つ @@ -1106,8 +1108,8 @@ IP バージョンフィールドが 作成されるルールは、デフォルトでは、同じプロトコルを使用している 発信元と宛先 IP/ポート間での双方向のトラフィックにマッチするような 動作となります。 -このルールには有限の生存時間 ( -.Xr sysctl 8 +このルールには有限の生存時間 +.Pf ( Xr sysctl 8 変数の集合により制御されます) があり、 生存時間はマッチするパケットが見つかるたびにリフレッシュされます。 @@ -1314,11 +1316,13 @@ TCP ヘッダに含まれていればマッチします。 .Pp 本オプションは、このインタフェースのものではないソースアドレスを持つパケットを すべて拒否する対スプーフィングルールを作成するのに使用可能です。 +.Cm antispoof +オプションも参照して下さい。 .It Cm versrcreach 内向きパケットに対しては、パケットのソースアドレスに対し、 経路テーブルが検索されます。 -ソースアドレスへの経路は存在するがデフォルトの経路でない場合、 -パケットはマッチします。 +ソースアドレスへの経路は存在するが、デフォルトの経路でない場合や +ブラックホール経路、拒否されてる経路である場合に、パケットはマッチします。 そうでなければ、パケットはマッチしません。 外向きパケットはすべてマッチします。 .Pp @@ -1328,6 +1332,24 @@ TCP ヘッダに含まれていればマッチします。 .Pp 本オプションは、ソースアドレスが到達可能でないパケットを すべて拒否する対スプーフィングルールを作成するのに使用可能です。 +.It Cm antispoof +内向きパケットに対しては、パケットのソースアドレスが直接接続されている +ネットワークに属するものかどうか確認します。 +ネットワークが直接接続されていれば、パケットを受信したインタフェースは +ネットワークに接続されているインタフェースと比較されます。 +受信インタフェースと直接接続されているインタフェースが同一でなければ、 +パケットはマッチしません。 +そうでなければパケットはマッチします。 +外向きパケットはすべてマッチします。 +.Pp +本オプションは、直接接続されたネットワークから来たふりをしているのに +そのインタフェース経由で入ってきていないパケットを +すべて拒否する対スプーフィングルールを作成するのに使用可能です。 +本オプションは +.Cm verrevpath +と似ていますが、ソースアドレスすべての代わりに、 +直接接続されたネットワークのソースアドレスを持つパケットを対象とするので +より限定的です。 .El .Sh 検索表 検索表は分散した大量のアドレス、典型的には 100 から数千のエントリを @@ -1446,8 +1468,8 @@ TCP ヘッダに含まれていればマッチします。 .Em src-ip/src-port dst-ip/dst-port のアドレスの組の間のパケット全てのみにマッチする .Em 動的 -ルールが生成されます ( -.Em src +ルールが生成されます +.Pf ( Em src と .Em dst はここでは最初にマッチしたアドレスを区別するためにのみ @@ -1957,8 +1979,8 @@ STABLE では、 は -c (コンパクト) フラグをサポートしません。 .It 非 IPv4 のパケットの取り扱い .Nm ipfw1 -は全ての非 IPv4 パケットを黙って受け付けます ( -.Nm ipfw1 +は全ての非 IPv4 パケットを黙って受け付けます +.Pf ( Nm ipfw1 は .Em net.link.ether.bridge_ipfw=1 Ns の場合にのみ非 IPv4 パケットを参照します)。 @@ -2127,6 +2149,22 @@ sysctl 変数 内向きパケットをすべて落とします。 例えば、保護された内部ネットワーク上のホストに属するソースアドレスを持つ パケットは、外部インタフェースからシステムに入ろうとした場合、落とされます。 +.Pp +.Cm antispoof +オプションを下記をルールセットの先頭に追加することで、 +同様のことが行なえますが、より限定された対スプーフィングが可能になります: +.Pp +.Dl "ipfw add deny ip from any to any not antispoof in" +.Pp +このルールは、他の直接接続されたシステムから変なインタフェースに来たように見える +内向きパケットをすべて落とします。 +例えば、ソースアドレスが +.Li 192.168.0.0/24 +であり +.Li fxp0 +で受信するように設定されているのに +.Li fxp1 +で受信されたパケットは落とされます。 .Ss 動的ルール にせの TCP パケットを含む怒涛の攻撃 (flood attack) から サイトを保護するために、次の動的ルールを用いた方が安全です。 @@ -2331,18 +2369,11 @@ RED キュー管理アルゴリズムを使用してネットワーク性能を検証するには、 可能性があります。 .Pp .Cm divert -によって行き先を変更されるか -.Cm tee -された、入ってきたパケットの断片 (フラグメント) は、 +によって行き先を変更された入力パケットの断片 (フラグメント) は、 ソケットに配送される前に再構成されます。 これらのパケットで使用されるアクションは パケットの最初のフラグメントにマッチしたルールのものです。 .Pp -.Cm tee -ルールにマッチするパケットは、 -即時に受理されるべきではなく、ルールリストを更に通るべきです。 -これは、以降のバージョンで修正されるかもしれません。 -.Pp ユーザランドへ向けられ、 ユーザランドのプロセス によって再投入されるパケットは、 |