path: root/ja/man/man8/ipfw.8

.Dd July 20, 1996
.\" jpman %Id: ipfw.8,v 1.4 1997/05/19 17:19:51 horikawa Stab %
.Dt IPFW 8 SMM
.Os FreeBSD
.Sh 名称
.Nm ipfw
.Nd IPファイアウォール制御ユーティリィティ
.Sh 書式
.Nm
.Ar file
.Nm ipfw
.Oo
.Fl f
|
.Fl q
.Oc
flush
.Nm ipfw
.Oo
.Fl q
.Oc
zero
.Op Ar number ...
.Nm ipfw
delete
.Ar number ...
.Nm ipfw
.Op Fl aftN
list
.Op Ar number ...
.Nm ipfw
.Oo
.Fl ftN
.Oc
show
.Op Ar number ...
.Nm ipfw
.Oo
.Fl q
.Oc
add
.Op Ar number
.Ar action 
.Op log
.Ar proto
from
.Ar src
to
.Ar dst
.Op via Ar name | ipno
.Op Ar options
.Sh 解説
書式の 1 行目のようにファイル名を指定した場合は、
.Ar file
を 1 行ずつ、引数として読み込みます。
.Pp
.Nm
はパケットごとに、マッチするルールが見つかるまでルールリストを調べます。
各ルールにはパケット数とパケットサイズの 2 つのカウンタが用意されていて、
パケットがマッチするとカウンタ値は更新されます。
.Pp
全ルールは 1 から 65534 の範囲の行番号で順序付けられます。この番号によって
ルールの並べ変えと削除を行ないます。
ルールのマッチングは昇順で行なわれ、最初にマッチしたものが適用されます。
複数のルールが同じ番号を共有することも可能です。この場合はルールが追加された
順序でマッチングが行なわれます。
.Pp
番号を指定せずにルールを追加した場合は、直前のルールの番号に 100 を加えたものと
なります。
ルールの番号が 65434 より大きい場合は、新しいルールは最後のルールに追加されます
。
.Pp
delete 操作は
.Ar number 
で指定された番号を持つ最初のルールを、もし有れば、削除します。
.Pp
list 操作は現在のルール一覧を出力します。
.Pp
show 操作は `ipfw -a list' と同じ結果を出力します。
.Pp
zero 操作は
.Ar number
で指定された番号を持つルールのカウンタをクリアします。
.Pp
flush 操作は全ルールを削除します。
.Pp
記号 `#' で始まる行および空行は無視されます。
.Pp
どんな場合でも次のルールは存在します:
.Bd -literal -offset center
65535 deny all from any to any
.Ed
.Pp
全パケットを拒否するのがデフォルトのポリシーです。
これを修正し、必要なルールを設定して下さい。
.Pp
オプションは以下のものが利用可能です。
.Bl -tag -width flag
.It Fl a
list 操作の時、カウンタの値を表示します。
show の項を参照のこと。
.It Fl f
操作を実行する際に確認メッセージを表示しません。
flush 操作も無条件に実行されます。
.Ar （注意）
プロセスに tty が関連付けられていない場合には、
このオプションが指定されているものとして実行されます。
.It Fl q
ルールを追加したり削除したりする際に、メッセージの出力を抑制します
('-f'も含まれます)。
このオプションは、リモートログインセッションでルールを調整する際に、
(例えば sh /etc/rc.firewall のようにして)スクリプトの中から複数の ipfw コマンド
を
実行する場合や、
多数の ipfw ルールを記述したファイルを用いる場合に
便利です。
flush 操作が通常の(冗舌な)状態で実行されると、メッセージが出力されます。
ここで、すべてのルールは削除されるので、メッセージをログインセッションに
送ることができず、ログインセッションがクローズされてしまうので、
残りのルールセットは実行されません。
この状態を修復するにはコンソールへのアクセスが必要となります。
.It Fl t
list 操作の時に、最後にマッチしたパケットのタイムスタンプを表示します。
.It Fl N
IPアドレスとサービス名をリゾルブしてホスト名で表示します。
.El
.Pp
.Ar action :
.Bl -hang -offset flag -width 1234567890123456
.It Ar allow
マッチするパケットを通過させ、マッチングを終了します。
.Ar pass ,
.Ar permit ,
.Ar accept
と同じです。
.It Ar deny
マッチするパケットを破棄し、マッチングを終了します。
.Ar drop
は
.Ar deny
と同じです。
.It Ar reject
(パケットを送らないよう嘆願) マッチするパケットを破棄し、
ICMP の host unreachable を送信して、終了します。
.It Ar unreach code
パケットを破棄し、ICMP の unreachable に
.Ar code
を付けて送信します。
.Ar code
は、 0 から 256 までの数字、もしくは、以下に列挙する別名のいずれかです:
.Ar net,
.Ar host ,
.Ar protocol ,
.Ar port ,
.Ar needfrag ,
.Ar srcfail ,
.Ar net-unknown ,
.Ar host-unknown ,
.Ar isolated ,
.Ar net-prohib ,
.Ar host-prohib ,
.Ar tosnet ,
.Ar toshost ,
.Ar filter-prohib ,
.Ar host-precedence ,
.Ar precedence-cutoff
。送信後、終了します。
.It Ar reset
TCP パケットのみに対応。
パケットを破棄し、TCP の (RST) を送信し、終了します。
.It Ar count
マッチするパケットのカウンタを更新し、引続きマッチングを行ないます。
.It Ar divert port
マッチするパケットを
.Ar port 
で指定されたポートにバインドされている
.Xr divert 4
ソケットに送り、マッチングを終了します。
.It Ar tee port
マッチするパケットのコピーを
.Ar port
で指定されたポートにバインドされている
.Xr divert 4
ソケットに送り、引続きマッチングを行ないます。
.It Ar skipto number
.Ar number
より小さな番号のルールを飛び越して、
.Ar number
以上の番号のルールで最初に存在するものから、マッチングを継続します。
.El
.Pp
パケットが
.Ar divert
や
.Ar tee
のどちらかひとつ以上、もしくは両方の組合せの、複数のルールにマッチした場合、
最後のものを除き、無視します。
.Pp
カーネルが
.Dv IPFIREWALL_VERBOSE
オプション付きでコンパイルされている場合に、``log'' が指定されているルールと
マッチした時は、メッセージをコンソールに表示します。
もし、
.Dv IPFIREWALL_VERBOSE_LIMIT
オプション付きでコンパイルされている場合、一連のルールに対し指定されたパケット
数を受信した後、メッセージの表示を中止します。
パケットのカウンタをクリアすれば再びメッセージを出力します。
.Pp
コンソールへの表示とその制限数は、
.Xr sysctl 8
を通し、直接設定できます。
.Pp
.Ar proto :
.Bl -hang -offset flag -width 1234567890123456
.It Ar ip
全パケットがマッチします。別名
.Ar all
も使えます。
.It Ar tcp
TCP パケットのみマッチします。
.It Ar udp
UDP パケットのみマッチします。
.It Ar icmp
ICMP パケットのみマッチします。
.It Ar <number|name>
指定されたプロトコルのパケットのみマッチします (
.Pa /etc/protocols
のリストを参照の事)
.El
.Pp
.Ar src 
と
.Ar dst :
.Pp
.Bl -hang -offset flag
.It Ar <address/mask>
.Op Ar ports
.El
.Pp
.Em <address/mask>
は以下のように指定できます。
.Bl -hang -offset flag -width 1234567890123456
.It Ar ipno
IP番号を 1.2.3.4 の形式で指定します。指定されたアドレスのみがマッチします。
.It Ar ipno/bits
IP番号とネットマスクの幅を 1.2.3.4/24 の形式で指定します。
この場合は 1.2.3.0 から 1.2.3.255 のアドレスがマッチします。
.It Ar ipno:mask
IP番号とネットマスクの幅を 1.2.3.4:255.255.240.0 の形式で指定します。
この場合は 1.2.0.0 から 1.2.15.255 のアドレスがマッチします。
.El
.Pp
アドレスの前に ``not'' を付けることによって、マッチの意味を反転させる
ことができます(指定されたアドレス以外の総てのアドレスがマッチします)。
これはポート番号には影響しません。
.Pp
TCP と UDP ではさらに、
.Em ports
を以下のように指定できます。
.Pp
.Bl -hang -offset flag
.It Ns {port|port-port} Ns Op ,port Ns Op ,...
.El
.Pp
ポート番号の代わりに(ファイル
.Pa /etc/services
から取った)サービス名を使用できます。
port-port の書式で、最初の値に限り範囲指定できます。
列挙出来るポート数は  
.Pa /usr/src/sys/netinet/ip_fw.h 
で
.Dv IP_FW_MAX_PORTS
として定義されています。
.Pp
断片化されたパケットでオフセットが非 0 のもの
(すなわち、最初の断片ではないもの) は、
一つ以上のポート仕様を持つルールにはマッチしません。？
断片化されたパケットへのマッチングに関する詳細は
.Ar frag
オプションを参照してください。
.Pp
マッチングのルールは、入ってくるパケットか、出ていくパケット、もしくはその両方
に対し適応されます。
.Ar in
を指定すれば、入ってくるパケットのみにルールを適応します。
.Ar out
を指定すれば、出ていくパケットのみに適応します。
.Pp
特定のインタフェースを通過するパケットには、
.Ar via
を用いてインタフェースを指定します:
.Bl -hang -offset flag -width 1234567890123456
.It Ar via ifX
.Ar ifX
を通過するパケットを指定します。
.It Ar via if*
.Ar ifX
を通過するパケットを指定します。X はいずれかのユニットの番号です。
.It Ar via any
.Em いずれか
のインタフェースを通過するパケットを指定します。
.It Ar via ipno
IP アドレスが
.Ar ipno
のインタフェースを通過するパケットを指定します。
.El
.Pp
.Ar via
を用いると、常時指定されたインタフェースがチェックされます。
.Ar recv
や
.Ar xmit
を、
.Ar via
の代わりに指定すると、
受信、もしくは送信インタフェースのみが(各々に)チェックされます。
両方を指定すれば、
受信と送信の両方のインタフェースを通るパケットを指定できます。
例 :
.Pp
.Dl "ipfw add 100 deny ip from any to any out recv ed0 xmit ed1"
.Pp
.Ar recv
で指定したインタフェースでは、受信と送信、両方のパケットをチェックできます。
それに対し、
.Ar xmit
で指定したインタフェースでは、送信パケットのみとなります。
それゆえに、
.Ar xmit
を指定すると
.Ar out
が、必須です(
.Ar in
は不可)。
.Ar via
と共に
.Ar xmit
もしくは、
.Ar recv
を指定する事はできません。
.Pp
個々のパケットは、受信用ないし送信用インタフェースを持たないかもしれません。
ローカルホストで発生したパケットには受信用のインタフェースはないし、
ローカルホスト内宛のパケットは、送信用インタフェースが有りません。
.Pp
追加用
.Ar options :
.Bl -hang -offset flag -width 1234567890123456
.It frag
パケットが断片(フラグメント)化されたデータグラムの一部で、かつデータグラムの
先頭の断片でない場合にマッチします。
.Ar frag
を、
.Ar tcpflags
や TCP/UDP ポート仕様と共に使用することはできません。
.It in
ネットワークから受信したパケットのみマッチします。
.It out
ネットワークへ送信するパケットのみマッチします。
.It ipoptions Ar spec
IP ヘッダが、
.Ar spec 
に指定されたコンマで区切られたオプションのリストを含む場合にのみマッチします。
サポートされている IP オプションは
.Ar ssrr 
(strict source route),
.Ar lsrr 
(loose source route),
.Ar rr 
(record packet route),
.Ar ts 
(timestamp) です。
``!''によって、特定のオプションを含めないよう指定できます。
.It established
RST または ACK ビットがセットされているパケットのみマッチします。
このビットがセットされることがあるのは TCP のパケットのみです。
.It setup
SYN ビットがセットされ ACK がセットされていないパケットのみマッチします。
このビットがセットされることがあるのは TCP のパケットのみです。
.It tcpflags Ar spec
TCP ヘッダが
.Ar spec 
に指定されたコンマで区切られたフラグのリストを含む場合にのみマッチします。
サポートされているフラグは、
.Ar fin ,
.Ar syn ,
.Ar rst ,
.Ar psh ,
.Ar ack ,
.Ar urg 
です。
``!''によって、特定のフラグを含めないよう指定できます。
.Ar tcpflags
仕様を含むルールは非 0 のオフセットを持つ断片化されたパケットに
マッチすることはありません。
断片化されたパケットに関するマッチについての詳細は
.Ar frag
オプションを参照してください。
.It icmptypes Ar types
ICMP タイプが
.Ar types 
で指定されたリスト中に存在する場合にのみ適用されるルールとなります。
リストはレンジの組み合わせでも、各タイプをコンマで区切ったものでもどちらでも
かまいません。
.El
.Sh チェックリスト
ルールを構成する際に考慮すべき重要な点を述べます。
.Bl -bullet -hang -offset flag 
.It 
かならず送信パケットと受信パケットの両方のパケットをフィルタリングします。
ほとんどのネットワークコネクションではパケットが双方向に流れることが必要です。
.It
テストは細心の注意を払って行ないます。テストの際にはコンソールの近くにいる
のがよいでしょう。
.It
ループバックインターフェイスのことを忘れてはなりません。
.El
.Sh 長所
ファイアウォールが常に破棄するパケットが 1 種類あります。
フラグメントオフセットが 1 のフラグメントパケットです。
これはパケットとしては有効なものですが、利用目的はファイアウォールを
かいくぐることしかありません。
.Pp
ネットワーク越しにログインしている場合、LKM版の
.Nm
をロードすることはそれほど単純なことではありません。
以下のコマンドを奨めます。
.Bd -literal -offset center
modload /lkm/ipfw_mod.o && \e
ipfw add 32000 allow all from any to any
.Ed
.Pp
これに引続き、同じような状況で
.Bd -literal -offset center
ipfw flush
.Ed
.Pp
とするのは良くありません。
.Sh パケットの行き先変更
指定されたポートを見ているソケットは、そのポートへ行き先変更されたパケットを、
全部受けとります。
.Xr divert 4 
を参照して下さい。ポートを見ているソケットがない場合やカーネルがパケットの行き
先変更をサポートするようにはコンパイルされていない場合、パケットは破棄されます
。
.Sh 使用例
次のコマンドは
.Em hacker.evil.org
から
.Em wolf.tambov.su
の telnet ポートへ送られる全ての TCP パケットを拒否するルールを追加します。
.Pp
.Dl ipfw add deny tcp from hacker.evil.org to wolf.tambov.su 23
.Pp 
次のコマンドはネットワーク hackers からホスト my への全てのコネクションを
拒否します。
.Pp
.Dl ipfw add deny all from 123.45.67.0/24 to my.host.org
.Pp
次はカウントされている情報とタイムスタンプを見る例です
.Pp
.Dl ipfw -at l
.Pp
これはタイムスタンプを省略して次のように指定できます。
.Pp
.Dl ipfw -a l
.Pp
次のルールは 192.168.2.0/24 からの全ての受信パケットを、5000番のポートに
行き先変更するものです。
.Pp
.Dl ipfw divert 5000 all from 192.168.2.0/24 to any in
.Sh 関連項目
.Xr ip 4 ,
.Xr ipfirewall 4 ,
.Xr divert 4 ,
.Xr protocols 5 ,
.Xr services 5 ,
.Xr reboot 8 ,
.Xr syslogd 8 ,
.Xr sysctl 8
.Sh バグ
.Pp
.Em WARNING!!WARNING!!WARNING!!WARNING!!WARNING!!WARNING!!WARNING!!
.Pp
このプログラムはコンピュータをかなり使いにくい状態にしてしまう可能性があります
。
はじめて使用する時はコンソール上で実行し、理解していない操作は
.Em 絶対に実行しない
ようにして下さい。
.Pp
連続したエントリの操作もしくは追加に際し、サービス名やプロトコル名は使用できま
せん。
.Pp
入ってきたパケットの断片(フラグメント)が
.Ar divert
によって行き先を変更されると、ソケットに配送される前に、組み立て直しをします。
それに対し、
.Ar tee
を経由した断片(フラグメント)は、組み立て直しされません。
.Pp
ポートの別名でダッシュ (-) を含むものは、リストの最初には書けません。
.Sh 作者
Ugen J. S. Antsilevich,
Poul-Henning Kamp,
Alex Nash,
Archie Cobbs.
API based upon code written by Daniel Boulet for BSDI.
.Sh 歴史
.Nm
は、FreeBSD 2.0 で最初に現れました。