diff options
author | Kazuo Horikawa <horikawa@FreeBSD.org> | 2001-11-05 02:21:38 +0000 |
---|---|---|
committer | Kazuo Horikawa <horikawa@FreeBSD.org> | 2001-11-05 02:21:38 +0000 |
commit | aab994cd1fab03de83639419333435733c34118b (patch) | |
tree | 340074a56daa71d3bc4fa01f5353ca418b34d64b /ja_JP.eucJP/man/man8/ipfw.8 | |
parent | 084b7817bb0ff7336476aea760469c0bb6a962b5 (diff) | |
download | doc-aab994cd1fab03de83639419333435733c34118b.tar.gz doc-aab994cd1fab03de83639419333435733c34118b.zip |
Catch up with 4.4-20011104-STABLE
Notes
Notes:
svn path=/head/; revision=11124
Diffstat (limited to 'ja_JP.eucJP/man/man8/ipfw.8')
-rw-r--r-- | ja_JP.eucJP/man/man8/ipfw.8 | 67 |
1 files changed, 48 insertions, 19 deletions
diff --git a/ja_JP.eucJP/man/man8/ipfw.8 b/ja_JP.eucJP/man/man8/ipfw.8 index 5765ed4fb3..b3305aa025 100644 --- a/ja_JP.eucJP/man/man8/ipfw.8 +++ b/ja_JP.eucJP/man/man8/ipfw.8 @@ -1,7 +1,7 @@ .\" -.\" %FreeBSD: src/sbin/ipfw/ipfw.8,v 1.63.2.15 2001/08/16 11:35:45 ru Exp % +.\" %FreeBSD: src/sbin/ipfw/ipfw.8,v 1.63.2.17 2001/11/03 00:36:10 luigi Exp % .\" -.\" $FreeBSD: doc/ja_JP.eucJP/man/man8/ipfw.8,v 1.33 2001/08/17 06:18:17 horikawa Exp $ +.\" $FreeBSD$ .\" .Dd February 16, 2000 .Dt IPFW 8 @@ -30,7 +30,7 @@ .Op Ar number ... .Nm .Op Fl s Op Ar field -.Op Fl aftN +.Op Fl adeftN .Es \&{ \&} .En Cm list | show .Op Ar number ... @@ -72,14 +72,21 @@ 各入出力パケットは .Nm ルールを通されます。 -ホストがゲートウェイとして動作している場合、 -ゲートウェイが転送するパケットは +パケットが .Nm -が 2 度処理します。 -ホストがブリッジとして動作している場合、 -ブリッジが転送するパケットは +に処理される回数は様々です。 +基本的には、カーネル関数 +.Em ip_input() , ip_output() , bdg_forward() +が起動される度に .Nm -が 1 度処理します。 +が起動されます。 +つまり、 +終点の 1 個がローカルホストにある接続では、パケットは 1 回処理されます。 +終点の 2 個両方がローカルホストにある接続または +このホストがルーティングするパケットに対しては、2 回処理されます +(ゲートウェイとしての動作)。 +このホストがブリッジするパケットに対しては、1 回処理されます +(ブリッジとしての動作)。 .Pp ファイアウォール設定は、番号付けされたルールのリストからなります。 あるルールにマッチしそれに関連する動作が実行されるまで、 @@ -93,8 +100,8 @@ .Pp どの設定も常に、 .Em DEFAULT -ルール (番号 65535) を含みます。このルールはプログラマが変更できず、 -常にパケットにマッチします。 +ルール (番号 65535) を含みます。このルールは変更できず、 +全パケットにマッチします。 デフォルトルールに関連付けるルールは .Cm deny か @@ -104,7 +111,9 @@ .Pp ルール集合が .Cm keep-state -オプション付きのルールを含む場合、 +または +.Cm limit +のオプション付きのルールを含む場合、 .Nm は .Em ステートフル (状態依存型) @@ -161,6 +170,12 @@ リスト中にカウンタ値を示します。 .Cm show コマンドもあわせて見てください。 +.It Fl d +リスト中に、静的ルールに加えて動的ルールも表示します。 +.It Fl e +.Fl d +オプションも指定された場合、 +リスト中に、期限切れの動的ルールも表示します。 .It Fl f 誤って使用すると問題を起す可能性のあるコマンド、 .No すなわち Cm flush @@ -619,9 +634,10 @@ IP アドレス 変数の集合により制御されます)。この生存期間は、パケットのマッチが 生じるたびに更新されます。 .Pp -実際の動作は、異なる -.Ar method -を指定することにより変更が可能です。 +.It Cm limit {src-addr src-port dst-addr dst-port} N +ファイアウォールは、 +ルールで指定されるパラメータにおいては、N 個の接続だけを許可します。 +始点および終点のアドレスやポートは、1 個以上指定可能です。 .It Cm bridged ブリッジされるパケットにのみマッチします。 これはマルチキャストやブロードキャストのパケットを扱う際に有用です。 @@ -1022,8 +1038,10 @@ IP フィルタリストを変更できません (システムセキュリティレベルについては .Sh SYSCTL 変数 ファイアウォールの動作を制御する .Xr sysctl 8 -変数の集合があります。これらを、デフォルトの値と意味とともに -以下に示します。 +変数の集合があります。 +デフォルト値 (どの値が実際に使用されるかは +.Nm sysctl +で確認してください) と意味と共に、これらを以下に列挙します。 .Bl -tag -width indent .It Em net.inet.ip.fw.debug : No 1 .Nm @@ -1059,8 +1077,9 @@ IP フィルタリストを変更できません (システムセキュリティレベルについては 組み込むことはできません。 .It Em net.inet.ip.fw.dyn_ack_lifetime : No 300 .It Em net.inet.ip.fw.dyn_syn_lifetime : No 20 -.It Em net.inet.ip.fw.dyn_fin_lifetime : No 20 -.It Em net.inet.ip.fw.dyn_rst_lifetime : No 5 +.It Em net.inet.ip.fw.dyn_fin_lifetime : No 1 +.It Em net.inet.ip.fw.dyn_rst_lifetime : No 1 +.It Em net.inet.ip.fw.dyn_udp_lifetime : No 5 .It Em net.inet.ip.fw.dyn_short_lifetime : No 30 これらの値は、動的ルールの生存期間を秒単位でコントロールします。 最初の SYN 交換の際に、生存期間が short になり、 @@ -1117,6 +1136,16 @@ SYN を両方とも見た後に増やされ、最後の FIN 交換の間、 ルールは、ルール集合の最初のほうに置くことになるのが普通です。 実際の燃費は変動します。 .Pp +ユーザが開ける接続数を制限するには、次のタイプのルールを使用可能です: +.Pp +.Dl "ipfw add allow tcp from my-net/24 to any setup limit src-addr 10" +.Dl "ipfw add allow tcp from any to me setup limit src-addr 4" +.Pp +前者 (ゲートウェイ上で動作することを仮定) は、/24 ネット上の各ホストが +最大 10 個の TCP 接続を開くことを許します。 +後者は、サーバ上に設定可能であり、 +単一のクライアントが同時に 4 個を越える接続を使用できないようにします。 +.Pp .Em 注意 : ステートフルなルールは、怒涛の SYN 攻撃により極めて大量の動的ルールを 作ってしまい、サービス不能攻撃を受けることになる可能性があります。 |