From c839d95ab87179a0c52f99359f5f6091a2e6c606 Mon Sep 17 00:00:00 2001 From: Kazuo Horikawa Date: Sun, 21 Jul 2002 22:05:34 +0000 Subject: [PATCH] Catch up with rev 1.1.2.7 --- ja_JP.eucJP/man/man7/firewall.7 | 26 +++++++++++++++++--------- 1 file changed, 17 insertions(+), 9 deletions(-) diff --git a/ja_JP.eucJP/man/man7/firewall.7 b/ja_JP.eucJP/man/man7/firewall.7 index 7f3df221a5..671abc1789 100644 --- a/ja_JP.eucJP/man/man7/firewall.7 +++ b/ja_JP.eucJP/man/man7/firewall.7 @@ -2,7 +2,7 @@ .\" the BSD Copyright as specified in the file "/usr/src/COPYRIGHT" in .\" the source tree. .\" -.\" %FreeBSD: src/share/man/man7/firewall.7,v 1.1.2.5 2002/04/22 00:14:19 keramida Exp % +.\" %FreeBSD: src/share/man/man7/firewall.7,v 1.1.2.7 2002/06/25 04:14:41 dillon Exp % .\" $FreeBSD$ .Dd May 26, 2001 .Dt FIREWALL 7 @@ -53,10 +53,16 @@ divert 以下で示す、ファイアウォールのサンプルではこれらの事項を満たすように してあります。 .Sh IPFW を使うためのカーネルの設定 -.Fx -のファイアウォール機能を使用するためには、 +IP ファイアウォールの機能を使用するためには、 +カスタムカーネルを作成する必要はありません。 +.Em /etc/rc.conf +(後述) でファイアウォールを有効にすれば、 +ipfw カーネルモジュールが自動的にロードされます。 +あなたが偏執したいならば、 .Sy IPFIREWALL -オプションの入ったカスタムカーネルを構築する必要があります。 +オプションを設定することで、IPFW を直接 +.Fx +カーネルに組み込むこともできます。 このファイアウォールは、何も設定しないとすべてのパケットを通過させないように なっています。 .Em /etc/rc.conf @@ -75,11 +81,11 @@ divert というカーネルオプションが用意されており、これによってファイアウォールの 初期状態をすべてのパケットを通過させる設定にすることができます。 しかし、 -このオプションを設定することは、システムが起動するまでの間を危険にさらす -ことになります。 -本オプションの使用は、 +このオプションを設定することは、システムブート中の短期間、 +ファイアウォールが全パケットを通すかもしれないことに注意してください。 +それでも本オプションの使用は、 .Fx -ファイアウォールに十分慣れるまでの期間に限定すべきです。 +ファイアウォールに十分慣れるまでの期間には有用です。 どのように動作するかすべて分かったら、これを削除して、抜け穴を塞いてください。 第 3 のオプションとして、 .Sy IPDIVERT @@ -297,6 +303,8 @@ add 03000 allow tcp from any to any 4000-65535,ssh,smtp,domain,ntalk add 03000 allow tcp from any to any auth,pop3,ftp,ftp-data # いくつかのタイプの ICMP を通過させることは重要です。 +# 一般形な ICMP タイプをここに列挙します。 +# ICMP タイプ 3 を通過させることが重要であることに注意してください。 # # 0 エコーリプライ # 3 到達不能 @@ -312,7 +320,7 @@ add 03000 allow tcp from any to any auth,pop3,ftp,ftp-data # らない場合がありますが、そのような場合にはインターネットルータでそれが # 禁止されていることを確認して下さい。 # -add 04000 allow icmp from any to any icmptypes 0,5,8,11,12,13,14 +add 04000 allow icmp from any to any icmptypes 0,3,8,11,12,13,14 # ここまで通って残ったフラグメントのログをとります。役にたつかもしれ # ませんが、邪魔なだけかもしれません。最後の deny ルールは、カーネルの設定