日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.3-RELEASE-K, 13.0-RELEASE-K から 13.2-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
NATD(8) FreeBSD システム管理者マニュアル NATD(8)
名称
natd -- ネットワークアドレス変換デーモン
書式
natd [-unregistered_only | -u] [-log | -l] [-proxy_only] [-reverse]
[-deny_incoming | -d] [-use_sockets | -s] [-same_ports | -m]
[-verbose | -v] [-dynamic] [-in_port | -i port]
[-out_port | -o port] [-port | -p port]
[-alias_address | -a address] [-target_address | -t address]
[-interface | -n interface] [-proxy_rule proxyspec]
[-redirect_port linkspec] [-redirect_proto linkspec]
[-redirect_address linkspec] [-config | -f configfile]
[-instance instancename] [-globalport port] [-log_denied]
[-log_facility facility_name] [-punch_fw firewall_range]
[-skinny_port port] [-log_ipfw_denied] [-pid_file | -P pidfile]
[-exit_delay | -P ms]
解説
natd ユーティリティは、FreeBSD の下で divert(4) ソケットとともに使用する
ためのネットワークアドレス変換 (Network Address Translation) 機能を提供し
ています。
(利用者が、PPP リンクの NAT を必要とするなら、ppp(8) は、natd 機能のほと
んどを与える -nat オプションを提供し、同じ libalias(3) ライブラリを使用し
ます。)
natd ユーティリティは、通常、デーモンとして、バックグラウンドで実行しま
す。それらがマシンに着信してマシンから発信するように、生の IP パケットを
渡し、IP パケットストリームにそれらを再注入する前に、もしかすると、これら
を変更するかもしれません。
それは、それらの発信元 IP アドレスが現在のマシンのそれであるように、別の
ホストに向かうことになっているすべてのパケットを変更します。この方法で変
更されたパケットごとに、内部のテーブルエントリは、この事実を記録するため
に作成されます。発信元のポート番号は、また、パケットに適用しているテーブ
ルエントリを示すために変更されます。現在のホストのターゲット IP で受信さ
れるパケットは、この内部のテーブルに対してチェックされます。エントリが見
つけられるなら、正しいターゲットの IP アドレスとパケットに置くためのポー
トを決定するために使用されます。
次のコマンド行オプションが利用可能です:
-log | -l 様々なエイリアシングの統計とファイル /var/log/alias.log の情
報をログ記録します。このファイルは、natd が開始されるたびに切
り詰められます。
-deny_incoming | -d
内部の変換テーブルのエントリがない着信してくるパケットを渡し
ません。
このオプションが使用されないなら、そのようなパケットは、以下
の -target_address の規則を使用して変更され、エントリは、内部
の変換テーブルで行なわれました。
-log_denied
syslog(3) (また、-log_facility を参照) を通して拒否される着信
してくるパケットをログ記録します。
-log_facility facility_name
syslog(3) を通して情報をログ記録するとき、指定されたログ機能
を使用します。引数 facility_name は、syslog.conf(5) で指定さ
れたキーワードの 1 つです。
-use_sockets | -s
FTP データまたは IRC DCC 送信接続を確立するために socket(2)
を割り付けます。このオプションは、より多くのシステムリソース
を使用しますが、ポート番号が衝突するとき、成功した接続を保証
します。
-same_ports | -m
発信するパケットを変更するとき、同じポート番号を保持しようと
試みます。このオプションで、RPC のようなプロトコルは、動作す
るよりよいチャンスがあります。ポート番号を維持することが可能
でないなら、それは、通常のように静かに変更されます。
-verbose | -v
起動時に daemon(3) を呼び出しません。代わりに、制御端末にア
タッチされたままで、標準出力にすべてのパケット変更を表示しま
す。このオプションは、デバッグの目的のためだけに使用されるべ
きです。
-unregistered_only | -u
未登録の送信元アドレスで発信するパケットのを変更します。RFC
1918 にしたがって、未登録の送信元アドレスは、10.0.0.0/8,
172.16.0.0/12 と 192.168.0.0/16 です。
-redirect_port proto targetIP:targetPORT[-targetPORT]
[aliasIP:]aliasPORT[-aliasPORT]
[remoteIP[:remotePORT[-remotePORT]]]
与えられた (複数の) ポートに到着している着信してくる接続を別
のホストと (複数の) ポートにリダイレクトします。引数 proto
は、tcp または udp のいずれかであり、targetIP は、要求された
ターゲット IP アドレスであり、targetPORT は、要求されたター
ゲットのポート番号、または、範囲であり、aliasPORT は、要求さ
れたポート番号、または範囲であり、aliasIP は、エイリアスされ
たアドレスです。引数 remoteIP と remotePORT は、必要であるな
ら接続をより正確に指定するために使用することができます。
remotePORT が指定されないなら、それは、すべてのポートであると
仮定されます。
引数 targetIP, aliasIP と remoteIP は、IP アドレスまたはホス
ト名として与えることができます。targetPORT, aliasPORT と
remotePORT 範囲は、同じ数値である必要はありませんが、同じサイ
ズでなければなりません。targetPORT, aliasPORT または
remotePORT が (範囲ではなく) 特異な値を指定するとき、それは、
services(5) データベースで検索されるサービス名として与えるこ
とができます。
例えば、引数
tcp inside1:telnet 6666
は、このマシンのポート 6666 に行くことになっている受信してく
る TCP パケットが inside1 マシンの telnet ポートに送信される
ことを意味しています。
tcp inside2:2300-2399 3300-3399
は、ポート 3300-3399 の着信してくる接続をホスト inside2 の
ポート 2300-2399 にリダイレクトします。マッピングは、3300 を
2300 にマップし、3301 を 2301 にマップする、等の 1:1 の意味で
す。
-redirect_proto proto localIP [publicIP [remoteIP]]
localIP アドレスに publicIP アドレスに行くことになっているプ
ロトコル proto (protocols(5) を参照) の受信してくる IP パケッ
トを localIP にリダイレクトします、逆もまた同様です。
publicIP が指定されないなら、デフォルトのエイリアスアドレス
が、使用されます。remoteIP が指定されるなら、remoteIP から来
る/に行くパケットだけが、規則と一致します。
-redirect_address localIP publicIP
パブリックな IP アドレスのためのトラフィックをローカルなネッ
トワークのマシンにリダイレクトします。この関数は、静的な NAT
として知られています。通常静的な NAT は、利用者の ISP が IP
アドレスの小さいブロックを利用者に割り付けるなら、役に立ちま
すが、それは、単一のアドレスの場合でさえ使用することができま
す:
redirect_address 10.0.0.8 0.0.0.0
上記のコマンドは、すべての着信してくるトラフィックをマシン
10.0.0.8 にリダイレクトします。
いくつかのアドレスのエイリアスが同じパブリックなアドレスを次
のように指定するなら、
redirect_address 192.168.0.2 public_addr
redirect_address 192.168.0.3 public_addr
redirect_address 192.168.0.4 public_addr
着信してくるトラフィックは、最後に変換されたローカルアドレス
(192.168.0.4) に向けられますが、最初の 2 つのアドレスからの発
信するトラフィックは、まだ、指定された public_addr から現れ、
エイリアスされます。
-redirect_port proto targetIP:targetPORT[,targetIP:targetPORT[,...]]
[aliasIP:]aliasPORT [remoteIP[:remotePORT]]
-redirect_address localIP[,localIP[,...]] publicIP
-redirect_port と -redirect_address のこれらの形式は、単一の
サーバの透過的にオフロードされるネットワークの負荷とサーバの
プールに渡ってロードを配信するために使用されます。この関数
は、LSNAT (RFC 2391) として知られています。例えば、引数
tcp www1:http,www2:http,www3:http www:http
は、ホストのために着信してくる HTTP 要求が、www1、www2、また
は www3 の 1 つに透過的に向けられ、ここで、ホストは、ネットで
のロードを気にせずに、単にラウンドロビンの基礎で選択されま
す。
-dynamic -n または -interface オプションが使用されるなら、natd は、渡
された interface の変更に対してルーティングソケットをモニタし
ます。インタフェースの IP アドレスが変更されるなら、natd は、
動的にエイリアスアドレスの概念を変更します。
-in_port | -i port
すべてのパケットを ``incoming'' (着信してくる) として扱い、
ポート port を divert(4) (迂回して) 読み込みして、書き込みま
す。
-out_port | -o port
すべてのパケットを ``outgoing'' (発信する) として扱い、ポート
port を divert(4) (迂回して) 読み込みして、書き込みます。
-port | -p port
divert(4) で指定された規則をしようして、``incoming'' (着信し
てくる) または ``outgoing'' (発信する) としてパケットを区別し
て、ポート port を divert(4) (迂回して) 読み込みして、書き込
みます。port が数値でないなら、それは、services(5) データベー
スで検索されます。このオプションが指定されないなら、natd で指
定された divert ポートは、デフォルトとして使用されます。
-alias_address | -a address
エイリアスしているアドレスとして address を使用します。これ、
または -interface オプションのいずれかは、-proxy_only オプ
ションが指定されないなら、(両方ではなく) 使用されなければなり
ません。指定されたアドレスは、通常、``public'' なネットワーク
インタフェースに割り当てられたアドレスです。
出て行くすべてのデータは、address と等しい送信元アドレスで書
き直されます。入って来るすべてのデータは、それが、あらゆるす
でにエイリアスされた発信する接続と一致しているかどうか確かめ
るためにチェックされます。一致するなら、パケットは、それに応
じて変更されます。一致しないなら、すべての -redirect_port,
-redirect_proto と -redirect_address の割り当ては、チェックさ
れ、動作します。他の動作を行なうことができず、-deny_incoming
が指定されないなら、パケットは、以下の -target_address オプ
ションで指定された規則を使用してローカルなマシンに配信されま
す。
-t | -target_address address
ターゲットアドレスを設定します。あらゆる前から存在するリンク
と関連しなかった着信してくるパケットがホストのマシンに到達す
るとき、それは、指定された address に送信されます。
ターゲットアドレスが 255.255.255.255 に設定され、その場合に、
すべての新しい着信してくるパケットは、-alias_address または
-interface によって設定されるエイリアスアドレスに行きます。
このオプションが使用されないか、または引数 0.0.0.0 で呼び出さ
れるなら、すべての新しい着信してくるパケットは、パケットで指
定されたアドレスに行きます。これによって、外部のマシンは、そ
れらが問題のマシンにパケットを送信することができるなら、内部
のマシンと直接通信することができます。
-interface | -n interface
エイリアスしているアドレスを決定するために、interface を使用
します。interface と関連する IP アドレスが変更される可能性が
あるなら、-dynamic オプションも、また使用されるべきです。この
オプションが指定されないなら、-alias_address オプションが、使
用されなければなりません。
指定された interface は、通常 ``public'' (または
``external'') ネットワークインタフェースです。
-config | -f file
file から設定を読み込みます。file は、上記のコマンド行オプ
ションの長い形式と同じ形式で、1 行に 1 つ、オプションのリスト
を含みます。例えば、行
alias_address 158.152.17.1
は、158.152.17.1 のエイリアスアドレスを指定します。引数を取ら
ないオプションは、設定ファイルで yes または no の引数で指定さ
れます。例えば、行
log yes
は、-log と同じ意味です。
オプションをいくつかのセクションに分割することができます。各
セクションは、natd インスタンスを所有するために適用します。こ
の能力は、いくつかの NAT インスタンスのために 1 つの natd プ
ロセスの設定を許可します。常に存在する最初のインスタンスは、"
デフォルト" のインスタンスです。それぞれ、別のインスタンス
は、次で始まるべきです。
instance instance_name
次には、設定オプションが置かれるべきです。例:
# デフォルトインスタンス
port 8668
alias_address 158.152.17.1
# 2 番目のインスタンス
instance dsl1
port 8888
alias_address 192.168.0.1
後続する空白と空行は、無視されます。`#' 記号は、コメントとし
て行の残りをマークします。
-instance instancename
このオプションは、次の -instance オプションか、またはコマンド
行の終りまで (必要なら、それを作成して) インスタンス
instancename を設定するためにコマンド行のオプション処理を切り
換えます。コマンド行でというよりむしろ -config オプションで指
定された設定ファイルの複数のインスタンスをセットアップするの
は、より簡単です。
-globalport port
``発信'' としてすべてのパケットを取り扱って、divert(4) ポート
port から読み込み、それに書き込みます。このオプションは、複数
のインスタンスで使用されることを目的としています: このポート
で受信されたパケットは、すべての設定されたインスタンスの内部
変換テーブルに対してチェックされます。エントリが見つけられる
なら、そのエントリに従って、パケットは、エイリアス (別名) さ
れます。エントリがインスタンスのいずれでも見つけられないな
ら、パケットは、変更せずに渡され、新しいエントリは、作成され
ません。より詳しい情報についてはセクション複数のインスタンス
を参照してください。
-reverse このオプションによって、natd は、``external'' のネットワーク
インタフェースではなく、``internal'' ネットワークインタフェー
スで操作することを許可して、``incoming'' (着信してくる) と
``outgoing'' (発信する) パケットを処理する方法を反転させま
す。
発信するトラフィックがローカルマシンにリダイレクトされ、natd
が、内部のインタフェース (それは、通常外部のインタフェースで
実行します) で実行されているとき、これは、いくつかの透過的な
プロキシの状況で役に立つかもしれません。
-proxy_only
natd が透過的なプロキシのみを実行することを強制します。通常ア
ドレス変換は、実行されません。
-proxy_rule [type encode_ip_hdr | encode_tcp_stream] port xxxx server
a.b.c.d:yyyy
透過的なプロキシを有効にします。あらゆる他のホストにこのホス
トに通り抜ける与えられたポートで発信する TCP パケットは、与え
られたサーバとポートにリダイレクトされます。オプションで、オ
リジナルのターゲットアドレスをパケットにエンコードすることが
できます。データを TCP ストリームの最初に注入するために、この
情報を IP オプションのフィールドまたは encode_tcp_stream に置
くために、encode_ip_hdr を使用します。
-punch_fw basenumber:count
このオプションは、natd を、FTP/IRC DCC 接続のための
ipfirewall(4) 基づいたファイアウォールの ``punch holes'' (パ
ンチ穴) に向けます。これは、特定の接続 (と、その接続だけ) が
ファイアウォールを通り抜けることができる一時的なファイア
ウォールの規則をインストールすることによって動的に行なわれま
す。いったん対応している接続が終了すると、規則は、削除されま
す。
規則番号 basenumber から始まる最大の count 規則は、ファイア
ウォールの穴に穴を開けるために使用されます。範囲は、起動時に
すべての規則のためにクリアされます。カーネルがセキュリティレ
ベル 3 であるとき、このオプションは、効果がありません、詳細に
ついては、init(8) を参照してください。
-skinny_port port
このオプションによって、利用者は、Skinny Station プロトコルの
ために使用される TCP ポートを指定することができます。Skinny
は、ボイスオーバ IP 呼び出しを設定するために Cisco Call Man
agers と通信するために、Cisco IP 電話によって使用されます。デ
フォルトで、Skinny エイリアスは、実行されません。Skinny のた
めの通常のポート値は、2000 です。
-log_ipfw_denied
ipfw(8) 規則がそれをブロックするので、パケットが再注入できな
いとき、ログ記録します。これは、-verbose をつけてデフォルトで
す。
-pid_file | -P file
プロセス ID を格納する代替のファイルを指定します。デフォルト
は、/var/run/natd.pid です。
-exit_delay ms
シグナルの後のデーモンの終了の前に ms のディレイ (遅れ) を指
定します。デフォルトは、10000 です。
NATD の実行
natd の実行試みる前に、次のステップが必要とされます:
1. 次のオプションをつけてカスタムのカーネルを構築します:
options IPFIREWALL
options IPDIVERT
カスタムのカーネルの構築で詳細な命令のためのハンドブックを参照してく
ださい。
2. 利用者のマシンがゲートウェイとして動作していることを保証します。これ
は、/etc/rc.conf ファイルの行
gateway_enable=YES
を指定することによって、または次のコマンド
sysctl net.inet.ip.forwarding=1
を使用することによって行なうことができます。
3. 利用者が -interface オプションを使用するなら、利用者のインタフェース
が既に設定されていることを確かめてください。例えば、利用者が、
interface として `tun0' を指定することを望み、利用者がそのインタ
フェースで ppp(8) を使用しているなら、利用者は、natd を開始する前に
ppp を開始することを確かめなければなりません。
実行している natd は、かなり単純です。行
natd -interface ed0
は、(正しいインタフェース名を置換して) ほとんどの場合に十分であるはずで
す。ブートの間に自動的に開始される設定する方法について、rc.conf(5) を
チェックします。いったん natd が実行されていると、利用者は、トラフィック
が natd に転換されることを保証しなければなりません:
1. 利用者は、/etc/rc.firewall スクリプトを好みに合わせて調整する必要が
あります。利用者が、ファイアウォールをもつことに興味がないなら、次の
行のように行ないます:
/sbin/ipfw -f flush
/sbin/ipfw add divert natd all from any to any via ed0
/sbin/ipfw add pass all from any to any
2 番目の行は、利用者のインタフェースに依存します (必要に応じて、
`ed0' を変更します)。
利用者は、これらのファイアウォールの設定という事実に注意するべきで、
利用者のローカルネットワークの誰もが、ゲートウェイとして利用者のホス
トを使用して送信元アドレスを偽造することができます。利用者のローカル
なネットワークで他のホストがあるなら、利用者は、信頼されたホストか
ら、とホストへのトラフィックだけを許可する、ファイアウォール規則を作
成するように強く勧められます。
利用者が実際のファイアウォール規則を指定するなら、natd は、それらが
ファイアウォールによって落とされる前に、すべてのパケットを見ることが
できるように、スクリプトの先頭で、行 2 を指定することが最も良いこと
です。
natd による変換の後に、パケットは、(同じ番号がいくつかあるなら、次の
規則でなく)転換を起こした規則番号にしたがって規則番号でファイア
ウォールに入り直します
2.
firewall_enable=YES
を /etc/rc.conf に設定することによって利用者のファイアウォールを有効
にします。これは、システム起動スクリプトに、/etc/rc.firewall スクリ
プトを実行するように伝えます。利用者が、現在リブートすることを望まな
いなら、まさに、コンソールから手動でこれを実行します。利用者がバック
グラウンドにそれを置かないなら、リモートのセッションからのこれを「決
して」実行しません。利用者がそう行なうなら、フラッシュが起こった後
に、利用者自身をロックアウトし、/etc/rc.firewall の実行は、この時点
で停止し - 永久にすべてのアクセスをブロックします。バックグラウンド
のスクリプトを実行することは、この惨事を防止するために十分であるべき
です。
複数のインスタンス
いくつかの外部の IP アドレスにエイリアシングを必要とすることは、それほど
珍しくはありません。伝統的に、これが独立した設定でいくつかの natd プロセ
スを実行することによって達成されていた間、natd は、単一のプロセスでの複数
のエイリアシングのインスタンスを持つことができ、また、それらが互いにそれ
ほど独立していないことを許可します。例えば、2 つの外部インタフェース (IP
1.2.3.4 がある) `sis0' と (IP 2.3.4.5 がある) `sis2' があるマシンで、異
なったプロバイダへの 2 つのチャネルのロードバランシングの共通タスクを見ま
しょう:
net 1.2.3.0/24
1.2.3.1 ------------------ sis0
(router) (1.2.3.4)
net 10.0.0.0/24
sis1 ------------------- 10.0.0.2
(10.0.0.1)
net 2.3.4.0/24
2.3.4.1 ------------------ sis2
(router) (2.3.4.5)
デフォルトルートは、`sis0' を通して out です。
内側のマシン (10.0.0.2) は、両方の外側の IP を通して TCP ポート 122 でア
クセス可能です、発信接続は、`sis0' と `sis2' の間でランダムにパスを選択し
ます。
これが動作する方法は、natd.conf がエイリアシングエンジンの 2 つのインスタ
ンスを構築するということです。
これらのインスタンスのプライベート divert(4) ソケットに加えて、
``globalport'' と呼ばれる 3 番目のソケットが、作成されます。これを通して
natd に送信されたパケットは、すべてのインスタンスに対してマッチされ、既存
のエントリが見つかるなら、変換され、エントリが見つけられないなら、変更さ
れません。次の行は、/etc/natd.conf に置かれます:
log
deny_incoming
verbose
instance default
interface sis0
port 1000
redirect_port tcp 10.0.0.2:122 122
instance sis2
interface sis2
port 2000
redirect_port tcp 10.0.0.2:122 122
globalport 3000
そして、次の ipfw(8) 規則が使用されます:
ipfw -f flush
ipfw add allow ip from any to any via sis1
ipfw add skipto 1000 ip from any to any in via sis0
ipfw add skipto 2000 ip from any to any out via sis0
ipfw add skipto 3000 ip from any to any in via sis2
ipfw add skipto 4000 ip from any to any out via sis2
ipfw add 1000 count ip from any to any
ipfw add divert 1000 ip from any to any
ipfw add allow ip from any to any
ipfw add 2000 count ip from any to any
ipfw add divert 3000 ip from any to any
ipfw add allow ip from 1.2.3.4 to any
ipfw add skipto 5000 ip from 2.3.4.5 to any
ipfw add prob .5 skipto 4000 ip from any to any
ipfw add divert 1000 ip from any to any
ipfw add allow ip from any to any
ipfw add 3000 count ip from any to any
ipfw add divert 2000 ip from any to any
ipfw add allow ip from any to any
ipfw add 4000 count ip from any to any
ipfw add divert 2000 ip from any to any
ipfw add 5000 fwd 2.3.4.1 ip from 2.3.4.5 to not 2.3.4.0/24
ipfw add allow ip from any to any
ここで、内部のネットワークからインターネットまでのパケットは、`sis0' (規
則番号 2000) を通って外に向けられ、globalport ソケット (3000) によって捕
まえられます。その後、2 つのインスタンスの 1 つの変換テーブルで一致したも
のが見つかるか、またはパケットが、等しい確立で、2 つの他の divert(4) ポー
ト (1000 または 2000) の 1 つに渡されます。これは、ロードバランシングが、
1 つのフローベース毎に行われることを確実にします (すなわち、単一の TCP か
らのパケットは、同じインタフェースを通したフローに常に接続します)。デフォ
ルトでないインタフェース (`sis2') の発信元 IP で変換されたパケットは、そ
のインタフェースの適切なルータに転送されます。
関連項目
libalias(3), divert(4), protocols(5), rc.conf(5), services(5),
syslog.conf(5), init(8), ipfw(8), ppp(8)
歴史
natd ユーティリティは、FreeBSD 3.0 で登場しました。
作者
このプログラムは、異なった時期の多くの人々の努力の結果です:
Archie Cobbs <archie@FreeBSD.org> (divert ソケット)
Charles Mott <cm@linktel.net> (パケットエイリアシング)
Eivind Eklund <perhaps@yes.no> (IRC サポートとその他の追加)
Ari Suutari <suutari@iki.fi> (natd)
Dru Nelson <dnelson@redwoodsoft.com> (初期の PPTP サポート)
Brian Somers <brian@awfulhak.org> (glue)
Ruslan Ermilov <ru@FreeBSD.org> (natd、パケットエイリアシング、glue)
Poul-Henning Kamp <phk@FreeBSD.org> (複数のインスタンス)
FreeBSD 12.2 October 5, 2016 FreeBSD 12.2