日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.3-RELEASE-K, 13.0-RELEASE-K から 13.2-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
BLACKLISTD(8) FreeBSD システム管理者マニュアル BLACKLISTD(8)
名称
blacklistd -- DoS 乱用を回避するためにデーモンでポートをブロックして解放
する
書式
blacklistd [-dfrv] [-C controlprog] [-c configfile] [-D dbfile]
[-P sockpathsfile] [-R rulename] [-s sockpath] [-t timeout]
解説
blacklistd は、成功しているまたは失敗した接続の試みに関する他のデーモンか
ら通知のため sockpathsfile で指定されたパスでソケットを listen (接続を受
け付け) する syslogd(8) に似たなデーモンです。そのようなファイルが指定さ
れないなら、またはそれが、/var/run/blacklistd.sock に指定されないなら、そ
れは、sockspath によって指定されたソケットパスを listen (接続を受け付け)
するだけです。各通知は、リモートの接続とアクションを識別する (アクショ
ン、ポート、プロトコル、アドレス、所有者) の組を含んでいます。この組は、
blacklistd.conf(5) で指定された構文で configfile のエントリに対して参照さ
れます。エントリと一致しているなら、状態エントリは、その組に対して作成さ
れます。各エントリは、多くの試みの制限と期間を含んでします。
アクションが ``add'' と多くの試みの制限に到達するなら、制御スクリプト
controlprog は、次の引数を付けて呼び出されます:
control add <rulename> <proto> <address> <mask> <port>
そして、引数によって指定された接続をブロックするために、パケットフィルタ
コマンドを呼び出すべきです。rulename 引数を、コマンド行から設定することが
できます (デフォルトは、blacklistd)。スクリプトは、その接続を削除するため
に後に使用することができる規則のためのハンドルとして stdout (標準出力) に
数値 ID を印刷 (表示) できましたが、削除するすべての情報が保持されている
ので、それは、必要ではありません。
アクションが ``remove'' であるなら、同じ制御スクリプトは、次のように呼び
出されます:
control remove <rulename> <proto> <address> <mask> <port> <id>
ここで、id は、``add'' アクションから返された数値です。
blacklistd は、dbfile で既知の接続のデータベースを保守しています。起動時
に、それは、そのファイルからエントリを読み込み、その内部状態を更新しま
す。
blacklistd は、timeout 秒 (デフォルト 15) ごとにアクティブなエントリのリ
ストをチェックし、必要に応じて制御プログラムを使用してエントリとブロック
規則を削除します。
次のオプションが、利用可能です:
-C controlprog
通常 /usr/libexec/blacklistd-helper というパケットフィルタと通信
するために controlprog を使用します。次の引数が、制御プログラムに
渡されます:
action 実行するアクションは、次の通りです: ファイアウォール規
則を追加し、削除し、またはフラッシュするために add, rem
または flush。
name 規則の名前。
protocol オプションのプロトコル名 (空を指定できます) は、次の通
りです: tcp, tcp6, udp, udp6。
address ブロックするか、または解放する IPv4 または IPv6 の数値
アドレス。
mask ブロックされるか、または解放されるアドレスに適用される
数値マスク。
port ブロックされるオプションの数値ポート (空を指定できま
す)。
id 規則の識別子によって規則の除去をサポートするパケット
フィルタについて、削除される規則の識別子。add コマンド
は、規則の識別子の文字列を stdout (標準出力) に返すこと
が期待されます。
-c configuration
通常、/etc/blacklistd.conf を読み込む設定ファイルの名前。
-D dbfile
通常、/var/run/blacklistd.db である、blacklistd がその状態を格納
する Berkeley DB ファイル。
-d 通常、blacklistd は、-d フラグが指定されないなら、その場合に、
フォアグラウンドにとどまります、端末からそれ自体を分離します。
-f 状態データベースを切り詰めて、すべての規則をフラッシュし、指定さ
れた rulename は、次のように、制御スクリプトを呼び出すことによっ
て削除されます:
control flush <rulename>
-P sockspathsfile
blacklistd が、listen (接続を受け付け) するためにソケットを作成す
る、1 つの行ごとに 1 つの、パス名のリストを含んでいるファイル。こ
れは、chroot された環境のために役に立ちます。
-R rulename
通常 blacklistd というパケットフィルタ規則のためのデフォルト規則
名を指定します。
-r 内部のデータベースからファイアウォール規則を再読み込みし、次に、
それらを削除し、再追加します。これは、ブートに渡って状態を保持し
ないパケットフィルタのために役に立ちます。
-s sockpath
listen (接続を受け付け) する Unix ソケットの blacklistd のリスト
に sockpath を追加します。
-t timeout
blacklistd が規則を更新するために状態ファイルをポーリングする秒単
位の間隔。
-v blacklistd は、syslogd(8) の代わりに stdout (標準出力) に診断メッ
セージを印刷 (表示) します。
関連ファイル
/usr/libexec/blacklistd-helper パケットフィルタでインタフェースを呼び出
すシェルスクリプト。
/etc/blacklistd.conf 設定ファイル。
/var/db/blacklistd.db 現在の接続エントリのデータベース。
/var/run/blacklistd.sock 接続通知を受信するソケット。
関連項目
blacklistd.conf(5), blacklistctl(8), npfctl(8), syslogd(8)
歴史
blacklistd は、NetBSD 7.0 ではじめて登場しました。blacklistd のための
FreeBSD サポートは、FreeBSD 11.0 で実装されました。
作者
Christos Zoulas
FreeBSD 11.2 June 7, 2016 FreeBSD 11.2