|
ipf − IP パケット入出力用のパケットフィルタリストを変更する |
|
ipf [ −6AdDEInoPrsUvVyzZ ] [ −l <block|pass|nomatch> ] [ −F <i|o|a|s|S> ] −f <filename> [ −f <filename> [...]] |
|
ipf は列挙されたファイルをオープンし ("−" は標準入力として扱います)、そ の ファイルを解釈して、パケットフィルタルールセットに対し追加または削除 するルールセットを求めます。 ipf が処理する各ルールは、解釈に問題がなければ、カーネル内部のリスト に 追 加されます。ルールは、ipf に与えられた時の出現順に一致する順序で内部 リストの最後に追加されます。 |
|
−6 |
本オプションは、IPv6 ルールのパーズおよびロードに必要です。 |
||
|
−A |
リストを、動作中のリストに変更を加えるものとします (デフォ ルト)。 |
||
|
−d |
デバッグモードをオンにします。各フィルタルールを処理する ご とに、フィルタルールの 16 進数ダンプを作成します。 |
||
|
−D |
(フィルタが有効な場合) フィルタを無効にします。ローダブル カーネルバージョンでは動作しません。 |
||
|
−E |
(フィルタが無効な場合) フィルタを有効にします。ローダ ブ ル カーネルバージョンでは動作しません。 |
|
−F <i|o|a> |
|
こ のオプションは、どのフィルタリストを捨てるのかを指定します。 パラメータは、"i" (input; 入力), "o" (output; 出力), "a" (all; 全 フィルタルールの除去) のいずれかです。レター一文字でも、また はそのレターで開始する語でもどちらを用いてもかまいません。実 行 オ プションを指定するコマンドラインにおいて、このオプションの位 置は他のオプションの前でも後でもかまいません。 |
|
−F <s|S> |
|
状態テーブルからエントリを消すために、 -F オプションは、"s" (完 全 に確立していない接続に関する状態情報の除去) か "S" (すべての 接続に関する状態情報の除去) と共に使用します。 2 つのオプション のどちらか片方のみ指定可能です。完全に確立された接続は、ipfstat -s 出力で 4/4 と表示され、どちらかの方向にずれている場合には も う完全には確立していないことを示します。 |
|
−f <filename> |
|
こ のオプションは、パケットフィルタルールリストを変更するための 入力を、 ipf がどのファイルから得るのかを指定します。 |
|
−I |
リストを、動作中ではないリストに変更を加えるものとします。 |
|
−l <pass|block|nomatch> |
|
-l フラグを使用すると、パケットのデフォルトログ動作を切り替えま す。 こ のオプションに対する有効な引数は、 pass, block, nomatch のいずれかです。オプションが設定されたとき、フィルタリングか ら 抜 け 出 した、いずれかの分類にマッチするパケットは、ログされま す。これが最も有用なのは、ロードしたルールのいずれにもマッチ し なかった全パケットをログする場合です。 |
|
−n |
このフラグ (無変更) は、ipf が実際に ioctl を呼び出すこと と、現在実行中のカーネルを変更することを妨げます。 |
||
|
−o |
(デフォルトの) 入力リストに対してではなく、出力リストに対し てデフォルトでルールを追加/削除するように強制します。 |
||
|
−P |
認証ルールテーブルの一時エントリに、ルールを追加します。 |
||
|
−r |
マッチするフィルタルールを、内部リストに追加するのではな く、削除します。 |
||
|
−s |
使用中の活動フィルタリストを「他」のものと交換します。 |
||
|
−U |
(SOLARIS 2 のみ) IP パケットとしては認識されないような デー タ ストリームを伴っているパケットをブロックします。このようなパ ケットはコンソールに表示されます。 |
||
|
−v |
冗長モードをオンにします。ルール処理に関する情報を表示し ま す。 |
||
|
−V |
バージョン情報を表示します。 ipf バイナリに組み込まれたバー ジョン情報を表示します。これは、(実行中/存在する場合には) カー ネ ルコードから取り出します。カーネル中に存在する場合、現在の状 態が表示されます (ログ取得が有効か、デフォルトフィルタ リ ン グ 等)。 |
||
|
−y |
IP フィルタが管理しているカーネル内インタフェースリストと、 現在のインタフェース状態リストとを、手動で再同期します。 |
||
|
−z |
入力ファイル中の各ルールに対し、統計情報を 0 にリセットし、 0 にする前の統計情報を表示します。 |
||
|
−Z |
フィルタリングのみに使用されるカーネル内全体統計情報を 0 に |
|
します (断片化と状態の統計には無関係です)。 |
|
/dev/ipauth |
|
ipftest(1), mkfilters(1), ipf(4), ipl(4), ipf(5), ipfstat(8), ipmon(8), ipnat(8) |
|
カー ネル内のパケットフィルタリストを実際に更新するには、 root として実 行する必要があります。 |
|
バグをみつけたら、darrenr@cyber.com に電子メールを送ってください。 |