Catch up with 4.4-20011104-STABLE

1 files changed, 48 insertions, 19 deletions

diff --git a/ja_JP.eucJP/man/man8/ipfw.8 b/ja_JP.eucJP/man/man8/ipfw.8
index 5765ed4fb3..b3305aa025 100644
--- a/ja_JP.eucJP/man/man8/ipfw.8
+++ b/ja_JP.eucJP/man/man8/ipfw.8
@@ -1,7 +1,7 @@
 .\"
-.\" %FreeBSD: src/sbin/ipfw/ipfw.8,v 1.63.2.15 2001/08/16 11:35:45 ru Exp %
+.\" %FreeBSD: src/sbin/ipfw/ipfw.8,v 1.63.2.17 2001/11/03 00:36:10 luigi Exp %
 .\"
-.\" $FreeBSD: doc/ja_JP.eucJP/man/man8/ipfw.8,v 1.33 2001/08/17 06:18:17 horikawa Exp $
+.\" $FreeBSD$
 .\"
 .Dd February 16, 2000
 .Dt IPFW 8
@@ -30,7 +30,7 @@
 .Op Ar number ...
 .Nm
 .Op Fl s Op Ar field
-.Op Fl aftN
+.Op Fl adeftN
 .Es \&{ \&}
 .En Cm list | show
 .Op Ar number ...
@@ -72,14 +72,21 @@
 各入出力パケットは
 .Nm
 ルールを通されます。
-ホストがゲートウェイとして動作している場合、
-ゲートウェイが転送するパケットは
+パケットが
 .Nm
-が 2 度処理します。
-ホストがブリッジとして動作している場合、
-ブリッジが転送するパケットは
+に処理される回数は様々です。
+基本的には、カーネル関数
+.Em ip_input() , ip_output() , bdg_forward()
+が起動される度に
 .Nm
-が 1 度処理します。
+が起動されます。
+つまり、
+終点の 1 個がローカルホストにある接続では、パケットは 1 回処理されます。
+終点の 2 個両方がローカルホストにある接続または
+このホストがルーティングするパケットに対しては、2 回処理されます
+(ゲートウェイとしての動作)。
+このホストがブリッジするパケットに対しては、1 回処理されます
+(ブリッジとしての動作)。
 .Pp
 ファイアウォール設定は、番号付けされたルールのリストからなります。
 あるルールにマッチしそれに関連する動作が実行されるまで、
@@ -93,8 +100,8 @@
 .Pp
 どの設定も常に、
 .Em DEFAULT
-ルール (番号 65535) を含みます。このルールはプログラマが変更できず、
-常にパケットにマッチします。
+ルール (番号 65535) を含みます。このルールは変更できず、
+全パケットにマッチします。
 デフォルトルールに関連付けるルールは
 .Cm deny
 か
@@ -104,7 +111,9 @@
 .Pp
 ルール集合が
 .Cm keep-state
-オプション付きのルールを含む場合、
+または
+.Cm limit
+のオプション付きのルールを含む場合、
 .Nm
 は
 .Em ステートフル (状態依存型)
@@ -161,6 +170,12 @@
 リスト中にカウンタ値を示します。
 .Cm show
 コマンドもあわせて見てください。
+.It Fl d
+リスト中に、静的ルールに加えて動的ルールも表示します。
+.It Fl e
+.Fl d
+オプションも指定された場合、
+リスト中に、期限切れの動的ルールも表示します。
 .It Fl f
 誤って使用すると問題を起す可能性のあるコマンド、
 .No すなわち Cm flush
@@ -619,9 +634,10 @@ IP アドレス
 変数の集合により制御されます)。この生存期間は、パケットのマッチが
 生じるたびに更新されます。
 .Pp
-実際の動作は、異なる
-.Ar method
-を指定することにより変更が可能です。
+.It Cm limit {src-addr src-port dst-addr dst-port} N
+ファイアウォールは、
+ルールで指定されるパラメータにおいては、N 個の接続だけを許可します。
+始点および終点のアドレスやポートは、1 個以上指定可能です。
 .It Cm bridged
 ブリッジされるパケットにのみマッチします。
 これはマルチキャストやブロードキャストのパケットを扱う際に有用です。
@@ -1022,8 +1038,10 @@ IP フィルタリストを変更できません (システムセキュリティレベルについては
 .Sh SYSCTL 変数
 ファイアウォールの動作を制御する
 .Xr sysctl 8
-変数の集合があります。これらを、デフォルトの値と意味とともに
-以下に示します。
+変数の集合があります。
+デフォルト値 (どの値が実際に使用されるかは
+.Nm sysctl
+で確認してください) と意味と共に、これらを以下に列挙します。
 .Bl -tag -width indent
 .It Em net.inet.ip.fw.debug : No 1
 .Nm
@@ -1059,8 +1077,9 @@ IP フィルタリストを変更できません (システムセキュリティレベルについては
 組み込むことはできません。
 .It Em net.inet.ip.fw.dyn_ack_lifetime : No 300
 .It Em net.inet.ip.fw.dyn_syn_lifetime : No 20
-.It Em net.inet.ip.fw.dyn_fin_lifetime : No 20
-.It Em net.inet.ip.fw.dyn_rst_lifetime : No 5
+.It Em net.inet.ip.fw.dyn_fin_lifetime : No 1
+.It Em net.inet.ip.fw.dyn_rst_lifetime : No 1
+.It Em net.inet.ip.fw.dyn_udp_lifetime : No 5
 .It Em net.inet.ip.fw.dyn_short_lifetime : No 30
 これらの値は、動的ルールの生存期間を秒単位でコントロールします。
 最初の SYN 交換の際に、生存期間が short になり、
@@ -1117,6 +1136,16 @@ SYN を両方とも見た後に増やされ、最後の FIN 交換の間、
 ルールは、ルール集合の最初のほうに置くことになるのが普通です。
 実際の燃費は変動します。
 .Pp
+ユーザが開ける接続数を制限するには、次のタイプのルールを使用可能です:
+.Pp
+.Dl "ipfw add allow tcp from my-net/24 to any setup limit src-addr 10"
+.Dl "ipfw add allow tcp from any to me setup limit src-addr 4"
+.Pp
+前者 (ゲートウェイ上で動作することを仮定) は、/24 ネット上の各ホストが
+最大 10 個の TCP 接続を開くことを許します。
+後者は、サーバ上に設定可能であり、
+単一のクライアントが同時に 4 個を越える接続を使用できないようにします。
+.Pp
 .Em 注意 :
 ステートフルなルールは、怒涛の SYN 攻撃により極めて大量の動的ルールを
 作ってしまい、サービス不能攻撃を受けることになる可能性があります。