diff options
Diffstat (limited to 'ja_JP.eucJP/man/man8/setkey.8')
-rw-r--r-- | ja_JP.eucJP/man/man8/setkey.8 | 682 |
1 files changed, 0 insertions, 682 deletions
diff --git a/ja_JP.eucJP/man/man8/setkey.8 b/ja_JP.eucJP/man/man8/setkey.8 deleted file mode 100644 index 205fbf0ccf..0000000000 --- a/ja_JP.eucJP/man/man8/setkey.8 +++ /dev/null @@ -1,682 +0,0 @@ -.\" $KAME: setkey.8,v 1.89 2003/09/07 22:17:41 itojun Exp $ -.\" %FreeBSD: src/usr.sbin/setkey/setkey.8,v 1.31 2004/06/05 20:22:15 ru Exp % -.\" -.\" Copyright (C) 1995, 1996, 1997, 1998, and 1999 WIDE Project. -.\" All rights reserved. -.\" -.\" Redistribution and use in source and binary forms, with or without -.\" modification, are permitted provided that the following conditions -.\" are met: -.\" 1. Redistributions of source code must retain the above copyright -.\" notice, this list of conditions and the following disclaimer. -.\" 2. Redistributions in binary form must reproduce the above copyright -.\" notice, this list of conditions and the following disclaimer in the -.\" documentation and/or other materials provided with the distribution. -.\" 3. Neither the name of the project nor the names of its contributors -.\" may be used to endorse or promote products derived from this software -.\" without specific prior written permission. -.\" -.\" THIS SOFTWARE IS PROVIDED BY THE PROJECT AND CONTRIBUTORS ``AS IS'' AND -.\" ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE -.\" IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE -.\" ARE DISCLAIMED. IN NO EVENT SHALL THE PROJECT OR CONTRIBUTORS BE LIABLE -.\" FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL -.\" DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS -.\" OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) -.\" HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT -.\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY -.\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF -.\" SUCH DAMAGE. -.\" -.\" $FreeBSD$ -.\" -.Dd November 20, 2000 -.Dt SETKEY 8 -.Os -.\" -.Sh 名称 -.Nm setkey -.Nd "手動で IPsec の SA/SP データベースを操作する" -.\" -.Sh 書式 -.Nm -.Op Fl v -.Fl c -.Nm -.Op Fl v -.Fl f Ar filename -.Nm -.Op Fl aPlv -.Fl D -.Nm -.Op Fl Pv -.Fl F -.Nm -.Op Fl h -.Fl x -.\" -.Sh 解説 -.Nm -ユーティリティは、 -カーネル内のセキュリティアソシエーションデータベース (SAD) エントリと -セキュリティポリシデータベース (SPD) エントリを、 -追加・更新・内容列挙・削除します。 -.Pp -.Nm -ユーティリティは、一連の操作を標準入力から受け取るか ( -.Fl c -付で起動された場合)、 -.Ar filename -という名前のファイルから受け取ります ( -.Fl f Ar filename -付で起動された場合)。 -.Bl -tag -width indent -.It Fl D -SAD エントリをダンプします。 -.Fl P -付の場合、SPD エントリをダンプします。 -.It Fl F -SAD エントリを捨てます。 -.Fl P -付の場合、SPD を捨てます。 -.It Fl a -.Nm -は通常、 -.Fl D -では、死んだ SAD エントリを表示しません。 -.Fl a -付の場合、死んだ SAD エントリも表示します。 -死んだ SAD エントリとは、期限切れではあるものの、 -SPD エントリから参照されているためにシステム中に残っているものを指します。 -.It Fl h -.Fl x -モードにおいて、16 進数ダンプを追加します。 -.It Fl l -.Fl D -において、短い出力で無限ループします。 -.It Fl v -冗長になります。 -プログラムは、 -.Dv PF_KEY -ソケット上で交換したメッセージをダンプします。 -これには他プロセスからカーネルに送られたメッセージを含みます。 -.It Fl x -無限ループし、 -.Dv PF_KEY -ソケットへ送られる全メッセージをダンプします。 -.Fl xx -は、各タイムスタンプのフォーマットをやめます。 -.El -.Ss 設定構文 -.Fl c -もしくは -.Fl f -がコマンドラインにあると、 -.Nm -は次の設定構文を受け付けます。 -ハッシュマーク -.Pq Ql # -で始まる行はコメント行として扱われます。 -.Bl -tag -width indent -.It Xo -.Li add -.Op Fl 46n -.Ar src Ar dst Ar protocol Ar spi -.Op Ar extensions -.Ar algorithm ... -.Li ; -.Xc -単一の SAD エントリを追加します。 -.Li add -の失敗にはいくつか理由があり、 -鍵の長さが指定したアルゴリズムに合致しない場合が含まれます。 -.\" -.It Xo -.Li get -.Op Fl 46n -.Ar src Ar dst Ar protocol Ar spi -.Li ; -.Xc -単一の SAD エントリを表示します。 -.\" -.It Xo -.Li delete -.Op Fl 46n -.Ar src Ar dst Ar protocol Ar spi -.Li ; -.Xc -単一の SAD エントリを削除します。 -.\" -.It Xo -.Li deleteall -.Op Fl 46n -.Ar src Ar dst Ar protocol -.Li ; -.Xc -指定に適合するすべての SAD エントリを削除します。 -.\" -.It Xo -.Li flush -.Op Ar protocol -.Li ; -.Xc -オプションに適合する全 SAD エントリをクリアします。 -コマンドラインに -.Fl F -を指定すると、同じ効果が得られます。 -.\" -.It Xo -.Li dump -.Op Ar protocol -.Li ; -.Xc -オプションに適合する全 SAD エントリをダンプします。 -コマンドラインに -.Fl D -を指定すると、同じ効果が得られます。 -.\" -.It Xo -.Li spdadd -.Op Fl 46n -.Ar src_range Ar dst_range Ar upperspec Ar policy -.Li ; -.Xc -単一の SPD エントリを追加します。 -.\" -.It Xo -.Li spddelete -.Op Fl 46n -.Ar src_range Ar dst_range Ar upperspec Fl P Ar direction -.Li ; -.Xc -単一の SPD エントリを削除します。 -.\" -.It Xo -.Li spdflush -.Li ; -.Xc -全 SPD エントリをクリアします。 -コマンドラインに -.Fl FP -を指定すると、同じ効果が得られます。 -.\" -.It Xo -.Li spddump -.Li ; -.Xc -全 SPD エントリをダンプします。 -コマンドラインに -.Fl DP -を指定すると、同じ効果が得られます。 -.El -.\" -.Pp -メタ引数は下記の通りです: -.Pp -.Bl -tag -compact -width indent -.It Ar src -.It Ar dst -セキュアコミュニケーションの始点/終点を IPv4/v6 アドレスで指定します。 -.Nm -ユーティリティは FQDN を数値アドレスに解決可能です。 -FQDN が複数のアドレスに解決された場合、 -.Nm -はすべての組み合わせを試みて、 -複数の SAD/SPD エントリをカーネルにインストールします。 -.Fl 4 , -.Fl 6 , -.Fl n -は、FQDN の解決を制限します。 -.Fl 4 -と -.Fl 6 -はそれぞれ、結果が IPv4/v6 アドレスのみになるよう制限します。 -.Fl n -は FQDN の解決を防止し、アドレスが数値アドレスであることを要求します。 -.\" -.Pp -.It Ar protocol -.Ar protocol -は次のいずれか 1 つです: -.Bl -tag -width Fl -compact -.It Li esp -rfc2406 を基にした暗号ペイロード -.It Li esp-old -rfc1827 を基にした暗号ペイロード -.It Li ah -rfc2402 を基にした認証ヘッダ -.It Li ah-old -rfc1826 を基にした認証ヘッダ -.It Li ipcomp -IPComp -.It Li tcp -rfc2385 を基にした TCP-MD5 -.El -.\" -.Pp -.It Ar spi -SAD および SPD 用の、セキュリティパラメータインデックス (SPI)。 -.Ar spi -は 10 進数または -.Ql 0x -付きの 16 進数で指定する必要があります。 -範囲 0 から 255 の SPI 値は、将来の使用のために IANA が予約しており、 -使用できません。 -TCP-MD5 関係は 0x1000 を使わないとなりませんので、 -現時点ではホストごとの粒度しかありません。 -.\" -.Pp -.It Ar extensions -次に示す引数を受け付けます: -.Bl -tag -width Fl -compact -.\" -.It Fl m Ar mode -使用するセキュリティプロトコルモードを指定します。 -.Ar mode -は次のいずれか 1 つです: -.Li transport , tunnel , -.Li any -。 -デフォルト値は -.Li any -です。 -.\" -.It Fl r Ar size -繰り返し攻撃を防ぐためのウィンドウサイズをバイト数で指定します。 -.Ar size -は 32 ビットワードの 10 進数で指定する必要があります。 -.Ar size -が 0 または指定されなかった場合、繰り返しのチェックは行われません。 -.\" -.It Fl u Ar id -SAD 中のポリシエントリの識別子を指定します。 -.Ar policy -を参照してください。 -.\" -.It Fl f Ar pad_option -ESP パディングの内容を指定します。 -.Ar pad_option -は次のいずれか 1 つです: -.Bl -tag -width random-pad -compact -.It Li zero-pad -パディングはすべて 0。 -.It Li random-pad -一連の乱数値を設定。 -.It Li seq-pad -1 から開始して増加する一連の数を設定。 -.El -.\" -.It Fl f Li nocyclic-seq -周期的な順序番号を許可しません。 -.\" -.It Fl lh Ar time -.It Fl ls Ar time -SA のハード有効期間/ソフト有効期間を指定します。 -.El -.\" -.Pp -.It Ar algorithm -.Bl -tag -width Fl -compact -.It Fl E Ar ealgo Ar key -ESP 用に暗号化アルゴリズム -.Ar ealgo -を指定します。 -.It Xo -.Fl E Ar ealgo Ar key -.Fl A Ar aalgo Ar key -.Xc -ESP 用に暗号化アルゴリズム -.Ar ealgo -とペイロード認証アルゴリズム -.Ar aalgo -を指定します。 -.It Fl A Ar aalgo Ar key -AH 用に認証アルゴリズムを指定します。 -.It Fl C Ar calgo Op Fl R -IPComp 用に圧縮アルゴリズムを指定します。 -.Fl R -が指定されると、 -.Ar spi -フィールド上の値が、 -ワイヤ上にそのまま IPComp CPI (compression parameter index) -フィールドとして使用されます。 -.Fl R -が指定されないと、 -カーネルはワイヤ上に良く知られた CPI を使用し、 -.Ar spi -フィールドはカーネル内部使用のためのインデックスとしてのみ使用されます。 -.El -.Pp -.Ar key -は、ダブルクォートで括られた文字列か、 -一続きの -.Ql 0x -付き 16 進数で指定する必要があります。 -.Pp -.Ar ealgo , -.Ar aalgo , -.Ar calgo -が取り得る値は別の節で規定します。 -.\" -.Pp -.It Ar src_range -.It Ar dst_range -セキュアコミュニケーションの選択であり、 -IPv4/v6 アドレスまたは IPv4/v6 アドレス範囲で指定します。 -TCP/UDP ポート指定を付加することも可能です。 -次の形式を受け付けます: -.Bd -literal -offset -.Ar address -.Ar address/prefixlen -.Ar address[port] -.Ar address/prefixlen[port] -.Ed -.Pp -.Ar prefixlen -と -.Ar port -は 10 進数で指定する必要があります。 -.Ar port -の周りの角括弧は、実際に必要です。 -マニュアルページのメタ文字ではありません。 -FQDN の解決に関しては、 -.Ar src -と -.Ar dst -に対して適用されるルールがここでも適用されます。 -.\" -.Pp -.It Ar upperspec -使用する上位層プロトコル。 -.Ar upperspec -として、 -.Pa /etc/protocols -中の 1 語を使用可能です。 -または、 -.Li icmp6 , -.Li ip4 , -.Li any -を指定可能です。 -.Li any -は -.Dq 任意のプロトコル -を意味します。 -また、プロトコル番号を使用可能です。 -上位層が ICMPv6 の場合、ICMPv6 用のタイプやコードを指定可能です。 -仕様は -.Li icmp6 -の後に置きます。 -タイプは、単一のコンマで区切ります。 -コードは常に指定することが必要です。 -0 が指定された場合、カーネルはこれをワイルドカードとして扱います。 -カーネルはワイルドカードと ICMPv6 タイプ 0 とを区別できないことに -注意してください。 -例えば下記は、 -入力の近隣要請に対して IPsec が不要というポリシを意味します。 -.Pp -.Dl "spdadd ::/0 ::/0 icmp6 135,0 -P in none;" -.Pp -注: -.Ar upperspec -は、現時点では転送に対して機能しません。 -転送ノードにおいて、追加の再構成 -(現時点では未実装) -が必要となるからです。 -.Pa /etc/protocols -には多数のプロトコルが登録されていますが、 -TCP, UDP, ICMP 以外は IPSec と共に使用するには不適切かもしれません。 -そのようなプロトコルの使用には、注意してください。 -.\" -.Pp -.It Ar policy -.Ar policy -は次の 3 種類の形式のうちいずれか 1 つです: -.Bd -ragged -offset indent -.It Fl P Ar direction Li discard -.It Fl P Ar direction Li none -.It Xo Fl P Ar direction Li ipsec -.Ar protocol/mode/src-dst/level Op ... -.Xc -.Ed -.Pp -ポリシの方向を -.Ar direction -で指定する必要があります。 -.Li out -または -.Li in -が使用されます。 -.Li discard -は、インデックスに適合するパケットが捨てられることを意味します。 -.Li none -は、パケットに対して IPsec 操作が実施されないことを意味します。 -.Li ipsec -は、パケットに対して IPsec 操作が実施されることを意味します。 -.Ar protocol/mode/src-dst/level -の部分は、パケット処理方法のルールを指定します。 -.Li ah , -.Li esp , -.Li ipcomp -のいずれかを、 -.Ar protocol -として設定します。 -.Ar mode -は -.Li transport -または -.Li tunnel -のいずれかです。 -.Ar mode -が -.Li tunnel -の場合、 -SA の末端アドレスを、 -.Ar src -および -.Ar dst -で、両アドレス間に -.Sq - -を付けて指定する必要があります。 -これは、使用する SA を指定するために用いられます。 -.Ar mode -が -.Li transport -の場合、 -.Ar src -と -.Ar dst -は両方省略可能です。 -.Ar level -は次のいずれかです: -.Li default , use , require , -.Li unique -。 -すべてのレベルにおいて SA が利用可能でない場合、 -SA 取得要求をカーネルは鍵交換デーモンに送ります。 -.Li default -は、カーネルがパケットを処理するとき、 -指定したプロトコルについて、 -システム全体のデフォルトを問い合わせることを意味します。 -これは例えば -sysctl 変数 -.Li esp_trans_deflev -を指します。 -.Li use -は、カーネルが SA を使用可能であれば使用し、 -使用不能の場合には通常操作を続けることを意味します。 -.Li require -は、ポリシに適合するパケットをカーネルが送る時には -いつも SA が必要であることを意味します。 -.Li unique -は require と同じです。 -更に、ポリシが一意な外向き SA に結合することを許します。 -ポリシレベルには -.Li unique -を指定するだけで良く、 -.Xr racoon 8 -がそのポリシのために SA を設定してくれます。 -そのポリシ用に手動キー入力で SA を設定する場合、 -.Li unique -の後にコロン -.Ql :\& -で区切った後に 10 進数でポリシ識別子を指定可能であり、次のようにします: -.Li unique:number -。 -これでこのポリシが SA に結合されます。 -.Li number -は 1 から 32767 の範囲にあることが必要です。 -これは、手動 SA 設定の -.Ar extensions Fl u -に対応します。 -SA バンドルを使用したい場合、複数のルールを定義可能です。 -例えば、IP ヘッダ、AH ヘッダ、ESP ヘッダ、上位層プロトコルヘッダと続く場合、 -ルールは次のようになります: -.Dl esp/transport//require ah/transport//require ; -ルールの順序は非常に重要です。 -.Pp -.Dq Li discard -と -.Dq Li none -は -.Xr ipsec_set_policy 3 -に記述されている構文には存在しないことに注意してください。 -両者の構文にはちょっとした違いがあります。 -詳細は -.Xr ipsec_set_policy 3 -を参照してください。 -.Pp -.El -.Pp -.\" -.Sh アルゴリズム -次の一覧は、サポートされているアルゴリズムを示しています。 -.Sy protocol -と -.Sy algorithm -は、ほぼ直交しています。 -次に示すのは、 -.Ar protocol -パラメータの -.Fl A Ar aalgo -で -.Ar aalgo -として使用可能な認証アルゴリズムの一覧です: -.Pp -.Bd -literal -offset indent -アルゴリズム 鍵長 (ビット) コメント -hmac-md5 128 ah: rfc2403 - 128 ah-old: rfc2085 -hmac-sha1 160 ah: rfc2404 - 160 ah-old: 128bit ICV (文書無し) -keyed-md5 128 ah: 96bit ICV (文書無し) - 128 ah-old: rfc1828 -keyed-sha1 160 ah: 96bit ICV (文書無し) - 160 ah-old: 128bit ICV (文書無し) -null 0 〜 2048 デバッグ用 -hmac-sha2-256 256 ah: 96bit ICV - (draft-ietf-ipsec-ciph-sha-256-00) -hmac-sha2-384 384 ah: 96bit ICV (文書無し) - 384 ah-old: 128bit ICV (文書無し) -hmac-sha2-512 512 ah: 96bit ICV (文書無し) - 512 ah-old: 128bit ICV (文書無し) -hmac-ripemd160 160 ah: 96bit ICV (RFC2857) - ah-old: 128bit ICV (文書無し) -aes-xcbc-mac 128 ah: 96bit ICV (RFC3566) - 128 ah-old: 128bit ICV (文書無し) -tcp-md5 8 to 640 tcp: rfc2385 -.Ed -.Pp -次に示すのは、 -.Ar protocol -パラメータの -.Fl E Ar ealgo -で -.Ar ealgo -として使用可能な暗号化アルゴリズムの一覧です: -.Pp -.Bd -literal -offset indent -アルゴリズム 鍵長 (ビット) コメント -des-cbc 64 esp-old: rfc1829, esp: rfc2405 -3des-cbc 192 rfc2451 -null 0 〜 2048 rfc2410 -blowfish-cbc 40 〜 448 rfc2451 -cast128-cbc 40 〜 128 rfc2451 -des-deriv 64 ipsec-ciph-des-derived-01 -3des-deriv 192 文書無し -rijndael-cbc 128/192/256 rfc3602 -aes-ctr 160/224/288 draft-ietf-ipsec-ciph-aes-ctr-03 -.Ed -.Pp -.Li aes-ctr -鍵の最初の 128 ビットは AES 鍵として使用され、 -残りの 32 ビットは nonce として使用されることに注意してください。 -.Pp -次に示すのは、 -.Ar protocol -パラメータの -.Fl C Ar calgo -で -.Ar calgo -として使用可能な圧縮アルゴリズムの一覧です: -.Pp -.Bd -literal -offset indent -アルゴリズム コメント -deflate rfc2394 -.Ed -.\" -.Sh 診断 -.Ex -std -.\" -.Sh 使用例 -.Bd -literal -offset -add 3ffe:501:4819::1 3ffe:501:481d::1 esp 123457 - -E des-cbc 0x3ffe05014819ffff ; - -add -6 myhost.example.com yourhost.example.com ah 123456 - -A hmac-sha1 "AH SA configuration!" ; - -add 10.0.11.41 10.0.11.33 esp 0x10001 - -E des-cbc 0x3ffe05014819ffff - -A hmac-md5 "authentication!!" ; - -get 3ffe:501:4819::1 3ffe:501:481d::1 ah 123456 ; - -flush ; - -dump esp ; - -spdadd 10.0.11.41/32[21] 10.0.11.33/32[any] any - -P out ipsec esp/tunnel/192.168.0.1-192.168.1.2/require ; - -add 10.1.10.34 10.1.10.36 tcp 0x1000 -A tcp-md5 "TCP-MD5 BGP secret" ; - -.Ed -.\" -.Sh 関連項目 -.Xr ipsec_set_policy 3 , -.Xr racoon 8 , -.Xr sysctl 8 -.Rs -.%T "Changed manual key configuration for IPsec" -.%O "http://www.kame.net/newsletter/19991007/" -.%D "October 1999" -.Re -.\" -.Sh 歴史 -.Nm -ユーティリティは WIDE Hydrangea IPv6 プロトコルスタックキットで -はじめて登場しました。 -本ユーティリティは 1998 年 6 月に、完全に再デザインされました。 -.\" -.Sh バグ -.Nm -ユーティリティは、構文エラーをよりよく報告し、扱えるべきです。 -.Pp -IPsec ゲートウェイ設定では、 -TCP/UDP ポート番号付きの -.Ar src_range -と -.Ar dst_range -は動作しません。 -これは、ゲートウェイがパケットを再組み立てしないからです -(上位層ヘッダの検査はできません)。 |