1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
|
.\"
.\" $Id: ipfwadm.8,v 1.9 1996/07/30 11:50:51 jos Exp $
.\"
.\"
.\" Copyright (c) 1995,1996 by X/OS Experts in Open Systems BV.
.\" All rights reserved.
.\"
.\" Author: Jos Vos <jos@xos.nl>
.\"
.\" X/OS Experts in Open Systems BV
.\" Kruislaan 419
.\" 1098 VA Amsterdam
.\" The Netherlands
.\"
.\" E-mail: info@xos.nl
.\" WWW: http://www.xos.nl/
.\"
.\"
.\" This program is free software; you can redistribute it and/or modify
.\" it under the terms of the GNU General Public License as published by
.\" the Free Software Foundation; either version 2 of the License, or
.\" (at your option) any later version.
.\"
.\" This program is distributed in the hope that it will be useful,
.\" but WITHOUT ANY WARRANTY; without even the implied warranty of
.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
.\" GNU General Public License for more details.
.\"
.\" You should have received a copy of the GNU General Public License
.\" along with this program; if not, write to the Free Software
.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
.\"
.\"
.TH IPFWADM 8 "July 30, 1996" "" ""
.SH 名前
ipfwadm \- IP ファイヤーウォールとアカウント制御の管理
.SH 書式
.BR "ipfwadm -A " "コマンド パラメータ [オプション]"
.br
.BR "ipfwadm -I " "コマンド パラメータ [オプション]"
.br
.BR "ipfwadm -O " "コマンド パラメータ [オプション]"
.br
.BR "ipfwadm -F " "コマンド パラメータ [オプション]"
.br
.BR "ipfwadm -M " "[ -l | -s ] [オプション]"
.SH 説明
.B Ipfwadm
は、LinuxカーネルでのIPファイヤーウォールとアカウント制御の規則を
設定・更新および調査するためのものである。
これらの制御規則は4つの種類に分ける事ができる。それらはすなわち、
IPパケットのアカウント制御(accounting of IP packets)、
IP入力ファイヤーウォール(the IP input firewall)、
IP出力ファイヤーウォール(the IP output firewall)、
そしてIP転送ファイヤーウォール(the IP forwarding firewall)
である。
これらそれぞれの種類は、それぞれ別の条件リストで制御される。
詳細は
.IR ipfw (4)
を参照の事。
.SH オプション
.B ipfwadm
で指定可能なオプションはいくつかのグループに分類できる。
.SS "CATEGORIES"
以下に示すフラグはコマンドに与える条件の種類を指定するのに用いる。:
.TP
.BR -A " [\fIdirection\fP]"
IPアカウント規則
オプションとして、
.I direction(方向)
を指定する事ができる
.RI ( in (入力方向),
.IR out (出力方向),
or
.IR both (双方向)),
指定された入力方向または出力方向のパケットのみがカウントされる。
デフォルトでは
.IR both (双方向)
である。
.TP
.B -I
IP 入力ファイヤーウォール条件。
.TP
.B -O
IP 出力ファイヤーウォール条件。
.TP
.B -F
IP 転送ファイヤーウォール。
.TP
.B -M
IP マスカレード設定。
この設定は
.B -l
(list:リスト) または
.B -s
(set timeout values:タイムアウト値設定)
コマンドとの組み合わせでのみ使用可能である。
.PP
厳密には、これらのオプションのうち一つを必ず指定する事。
.SS COMMANDS
次に示すオプションは実際の動作を指定するものである。
これらのうち一つだけを書式で示された方法でコマンドラインにて指定する。
.TP
.BR -a " [\fIpolicy\fP]"
設定した条件の最後に一つ以上の条件を追加する。
アカウント条件の設定の場合は、policyの設定を行わない事。
ファイヤーウォール条件の設定の場合は、以下に示すうちの一つを指定する事。
.IR accept(許可) ,
.IR deny (不許可),
または
.IR reject (拒絶)
ソース(元) とデスティネーション(先)のホスト名が一つ以上の
アドレスであった場合はそれらの考えられうる組み合わせが追加される。
.TP
.BR -i " [\fIpolicy\fP]"
設定した条件の先頭に一つ以上の条件を挿入する。
詳細な書式については
.B -a
を参照の事
.TP
.BR -d " [\fIpolicy\fP]"
設定した条件のうち、一つ以上の条件を削除する。
意味合いとしては追加/挿入コマンドと同じである。
指定するパラメータはすでに追加/挿入したコマンドと全く同じにする事。
異なる場合は不一致となり、その条件は削除されない。
また、最初に一致した条件だけが削除される。
.TP
.B -l
設定した条件の一覧を表示する。
このコマンドは
.B -z
(reset counters to zero:カウンタの0リセット)コマンドと
組み合わせて使用できる 。
この場合、パケットとバイトカウンタは、現在の値を表示した直後に
リセットされる。
.B -x
オプションを付けないと、パケットとバイトカウンタ(が指定されていれば)
は
.IR 数値 K
または
.IR 数値 M
で表示される。
ここで、1Kは1000であり、1Mは1000Kを意味する。(最も近い整数に丸められる)
下記の
.B -e
と
.B -x
のフラグの多くの機能も参照の事。
.TP
.B -z
設定した条件のパケット数とバイト数のカウンタをリセットする。
このコマンドは
.B -l
(リスト:list)コマンドとの組み合わせて使用する事が多いであろう。
.TP
.B -f
設定した条件を抹消する。
.TP
.BI -p " policy"
選択したファイヤーウォールタイプのデフォルトの"policy"を変更する。
与えるべき"policy"は
.IR accept 、
.IR deny 、
または
.IR reject
の内の一つでなければならない。
デフォルト"policy"は一致する条件がない場合に使用する。
この設定はIPファイヤーウォールにのみ有効である。よって下記の
.BR -I 、
.BR -O 、
または
.B -F
のフラグとの組み合わせで使用する。
.TP
.BI -s " tcp tcpfin udp"
IPマスカレードで使用するタイムアウト値を変更する。
このコマンドは常に3つのパラメータをとり、それらはそれぞれ
秒の単位でTCPセション、FINパケットを受けた後のTCPセション、
UDPパケットのタイムアウト値を記述する。
タイムアウト値として0を指定した場合は、現在そのエントリで
使用している値がそのまま引き継がれる。
この設定は、
.B -M
フラグとの組み合わせでのみ有効である。
.TP
.B -c
選択したファイヤーウォールにおいて、このIPパケットがaccept(許可)、
deny (不許可)、またはreject (拒絶)であるかどうかを確認する。
この設定は、
.BR -I ,
.BR -O ,
または
.B -F
フラグとの組み合わせでのみ有効である。
.TP
.B -h
Help(ヘルプ)である。
コマンドの記法を(現在は非常に簡単に)表示する。
.SS PARAMETERS
以下に示すパラメータはappend(追加)、insert(挿入)、delete(削除)
またはcheck(確認)と組み合わせて使用可能である。
.TP
.BI "-P " protocol
設定条件または確認すべきパケットのプロトコルを示す。
記述する事ができるプロトコルとしては
.IR tcp 、
.IR udp 、
.IR icmp 、
または
.IR all(全て)
のプロトコルのうちの一つである。
.I all
を指定した場合はこのオプションが省略されている場合にとりうる
すべてのプロトコルが対象になる。
.I All
はcheck(確認)コマンドとの組み合わせで用いる事はないであろう。
.TP
.BR "-S " "\fIaddress\fP[/\fImask\fP] [\fIport\fP ...]"
ソースの指定(オプション)。
.I Address
はhost名、ネットワーク名およびIPアドレスによる指定が可能である。
.I mask
はネットワークマスクによる指定と数値による指定が可能であり、
数値による指定は左側からのネットマスクビット数を指定する。
よって、マスク値
.I 24
は
.IR 255.255.255.0
と等価である。
.sp 0.5
ソースは一つ以上のポートまたはICMPタイプを含む。
それぞれの指定はservice名、port番号、または(数値での)ICMP
タイプで指定できる。
この章の残りの部分で記述する
.I port
は、port番号またはICMPタイプを示す。
これらの指定の内、port番号の範囲を指定する場合は、
.IR port : port
と、記述する。
さらに、ソース(元)とデスティネーション(先)の指定できる合計port
数は
.B IP_FW_MAX_PORTS
(現状 10)を超えてはならない。
ここで、portの範囲指定の場合は2と数える。
.sp 0.5
TCP、UDPまたはICMPパケットの「最初のフラグメントでない」部分は常に
ファイヤーウォールに許可される。
アカウント制御においては、これらの二番目以降のフラグメントは
特別に扱われ、種々の方法でカウントできる。
port番号0xFFFF(65535)が二番目以降のTCPまたはUDPパケットとして
扱われる。
これらのport番号0xFFFFのパケットはアカウント目的で用いられる。
0xFF (255)はICMPパケットの二番目以降に相当するものとして扱われる。
また、ICMPタイプが0xFFのパケットはアカウント目的で用いられる。
注意すべきは、記述したコマンドやプロトコルは、portを暗黙に制限する。
portは下記プロトコルとの組み合わせで使用する。
.IR tcp 、
.IR udp 、
または
.I icmp
.sp 0.5
このオプションが省略された場合は、デフォルトのアドレス/ネットマスクとして
.I 0.0.0.0/0
(すべてのアドレスに適合するもの)がソースアドレスとして使用される。
チェックコマンドにおいてはこのオプションが必須であり、必ず1つのポートが
指定されていなければならない。
.TP
.BR "-D " "\fIaddress\fP[/\fImask\fP] [\fIport\fP ...]
デスティネーション(先)を指定する。(オプション)
記法の詳細に関しては
.B -S
記法、省略時標準値、その他の指定項目については(source:ソース)フラグの項を
参照の事。
注意すべきは、ICMPタイプは
.B -D
フラグとの組み合わせでは使用できない。すなわち、
.B -S
フラグの後に指定する事。
.TP
.BI "-V " address
オプションとして、パケットが受け取られるまたは送られる時に
経由するインタフェースのアドレスを指定する。
.I Address
はhost名でも数値によるIPアドレスでもよい。
host名が指定された場合は、ただ一つのIPアドレスに割り当てられる。
このオプションが省略された場合は、アドレスは
.I 0.0.0.0
が仮定され、特別にどのインタフェースアドレスも適合される。
チェックコマンドにおいてはこのオプションが必須である。
.TP
.BI "-W " name
オプションとして、パケットが受け取られるまたは送られる時に
経由するインタフェースの名前を指定する。
このオプションが省略された場合は、名前はempty string(空文字列)が
仮定され、特別にどのインタフェース名も適合される。
チェックコマンドにおいてはこのオプションが必須である。
.SS "OTHER OPTIONS"
以下に示すオプションが使用可能である。
.TP
.BI -b
Bidirectional(双方向)モード。
指定した条件を双方向のIPパケットに適合する。
このオプションはappend(追加)、insert(挿入)またはdelete(削除)
コマンドと組み合わせて使用可能である。
.TP
.BI -e
Extended output(拡張出力)。
このオプションを指定するとlist(リスト)コマンドでの出力で
インタフェースと(もしあれば)設定条件を表示する。
ファイヤーウォールリストにおいては、パケットとバイトカウンタ値
(デフォルトの状態では、アカウント制御を行っているバイトカウンタ値
のみが表示される)およびTOSマスクを出力する。
.BR -M
との組み合わせで使用した場合は、delta sequence numbersに関連した
情報が表示される。
このオプションはlist(リスト)コマンドとの組み合わせでのみ有効である。
.TP
.BI -k
TCPパケットのACKビットがセットされているもののみ適合する。
(このオプションは他のプロトコルでは無視される)
このオプションはappend(追加)、insert(挿入)またはdelete(削除)
コマンドと組み合わせて使用可能である。
.TP
.BI -m
転送用のマスカレードパケットの許可。
このオプションを指定した場合、パケットがローカルホストからの
ものであればマスカレードパケットとして扱われる。
さらに、逆向きのパケットは自動的に逆マスカレードパケットとして
扱われ、ファイヤーウォールをバイパスする。
このオプションは、転送ファイヤーウォールの場合で"policy"として
.I accept
(またはデフォルトの"policy"として
.I accept
が指定されている場合)に使用可能で、さらにカーネルコンパイル時に
.B CONFIG_IP_MASQUERADE
が定義されていなければならない。
.TP
.BI -n
Numeric output(数値での出力)。
IPアドレスとport番号を数値で表示する。
デフォルトでは、それらを(できるならば)host名、ネットワーク名
およびservice名で表示する。
.TP
.BI -o
適合したパケットに対するカーネルロギングを行う。
ある条件に対してこのオプションを設定するとLinuxカーネルは
適合したパケット(IPヘッダフィールドのほとんど)の情報を
.IR printk ()
関数を使って出力する。
このオプションはLinuxカーネルコンパイル時に
.B CONFIG_IP_FIREWALL_VERBOSE
を定義した場合に有効である。
このオプションはappend(追加)、insert(挿入)またはdelete(削除)
コマンドと組み合わせでのみ有効である。
.TP
.BR "-r " [\fIport\fP]
ローカルソケットにリダイレクトする。
このオプションが設定されている場合は、もしそのパケットがリモートの
ホストから送られたものであってもこの条件にしたがってローカルの
ソケットにリダイレクトされる。
リダイレクトを行うポート番号が0の場合(デフォルトである)は、
そのパケットのデスティネーションポートがリダイレクトされる
ポートとして用いられる。
このオプションは、入力ファイヤーウォールの場合で"policy"として
.I accept
が指定されている場合に使用可能で、さらにカーネルコンパイル時に
.B CONFIG_IP_TRANSPARENT_PROXY
が定義されていなければならない。
.TP
.BI "-t " "andmask xormask"
IPヘッダのTOSフィールドを改変するときに用いるマスク
(マスカレードの有無に関わらず)ファイヤーウォールの条件により
パケットが許可された場合に、そのパケットのTOSフィールドに対して
初めに指定したマスク値とビット毎にAND(論理積)し、さらにその結果に
対して次のマスク値とビット毎にXOR(排他的論理和)を行う。
それぞれのマスクは16進数の8ビットで指定する。
このオプションはappend(追加)、insert(挿入)またはdelete(削除)
コマンドと組み合わせてでのみ有効であり、アカウント制御や、
reject(拒絶)やdeny(不許可)のファイヤーウォール制御のコマンド時には
意味を持たない。
.TP
.BI -v
Verbose output(詳細出力)。
条件やパケットの追加、削除および確認において詳細情報を出力する。
このオプションはappend(追加)、insert(挿入)、delete(削除)
またはcheck(確認)コマンドと組み合わせでのみ有効である。
.TP
.BI -x
Expand numbers(拡張数値出力)。
パケット数およびバイトカウンタ値の出力において、K(1000倍)や
M(1000K倍)といった丸めた値ではなく、正確な値を出力する。
このオプションはカウント値が出力される場合にのみ有効である。
(オプション
.B -e
参照の事)。
.TP
.BI -y
TCPパケットのSYNビットがセットされており、ACKビットがリセット
されているもののみ適合する。
(このオプションは他のプロトコルでは無視される)
このオプションはappend(追加)、insert(挿入)またはdelete(削除)
コマンドと組み合わせて使用可能である。
.SH ファイル
.I /proc/net/ip_acct
.br
.I /proc/net/ip_input
.br
.I /proc/net/ip_output
.br
.I /proc/net/ip_forward
.br
.I /proc/net/ip_masquerade
.\" .SH バグ
.SH 関連項目
ipfw(4)
.SH 著者
Jos Vos <jos@xos.nl>
.br
X/OS Experts in Open Systems BV, Amsterdam, The Netherlands
.SH 訳者
柴田 (ひ) 尚明 <shibata@opost1.netspace.or.jp> 1997/02/15 ver. 0.0
|
