ipftest(1) FreeBSD 一般コマンドマニュアル

ipftest

前のページ 上に戻る 次のページ

ipftest


       ipftest [ -vbdPSTEHX ] [ -I interface ] -r <filename> [ -i
       <filename> ]


解説

       ipftest は、フィルタルール集合をあるべき場所に置かずにテス
       トできるようにするために提供されています。これは動作して、
       フィルタルールの効果をテストします。安全な IP 環境を提供す
       るに際し、混乱を最小にできればよいということです。

       ipftest は、ipf の標準ルールセットを解釈し、これを入力に対
       して適用し、結果として出力を返します。しかし、フィルタを通
       過したパケットに対して ipftest が返すのは、次の 3 つの値の
       うちの 1 つです: pass, block, nomatch。これは、パケット が
       フィルタルールセットを通過するにあたって何が発生しているの
       かに関し、オペレータの理解を助けることを意図しています。

       -S, -T, -E のいずれのオプションも使用しない場合、  ipftest
       は 固 有 のテキスト入力フォーマットを使用し、「擬似」IP パ
       ケットを生成します。使用するフォーマットは次のとおりです:
                 "in"|"out" "on" if ["tcp"|"udp"|"icmp"]
                      srchost[,srcport] dsthost[,destport] [FSRPAU]

       あるインタフェース (if) にて、入る ("in")   ま た は 出 る
       ("out") パケットを生成できます。オプションとして主要プロト
       コル 3 つの中から 1 つを選択できます。 TCP または UDP の場
       合、 ポートパラメータの指定も必要です。 TCP が選択された場
       合、(オプションとして) 最後に TCP フラグを指定可能です。以
       下に例を数個示します:
                 # le0 に到着する UDP パケット
                 in on le0 udp 10.1.1.1,2210 10.2.1.5,23
                 # localhost から le0 に到着する IP パケット - うーむ :)
                 in on le0 localhost 10.4.12.1
                 # SYN フラグを設定されて le0 から出て行く TCP パケット
                 out on le0 tcp 10.4.12.1,2245 10.1.1.1,23 S


オプション

       -v      冗長モード。通過したまたはしなかった入力パケットに
              対してルールのどの部分がマッチしたのかに関し、よ り
              詳しい情報を提供します。

       -d      フィ ル タルールデバッグをオンにします。現在は、IP
              ヘッダチェックにおいて、ルールがマッチしなかった 理
              由を表示するだけです (アドレス/ネットマスクなど)。

       -b      パケットをフィルタに通した結果の出力を、短いまとめ
              (1 語)、すなわち "pass", "block", "nomatch" のい ず
              れかにします。後戻りして確認する際に使用します。

       -I <interface>
              (ルールのマッチに使用される) インタフェース名を、指
              定された名前に設定します。この方法無しにはパケッ ト
              と インタフェースとを関連付けられない、 -P, -S, -T,

       -T     入力ファイルは tcpdump のテキスト出力です。現在サポ
              ートされているテキストフォーマットは、次の  tcpdump
              オプションの組み合わせの出力です:

                 tcpdump -n
                 tcpdump -nq
                 tcpdump -nqt
                 tcpdump -nqtt
                 tcpdump -nqte


       -H     入力ファイルは16 進数であり、パケットのバイナリ構造
              を表現する必要があります。 IP ヘッダの長さが正し く
              なくても、長さは補正されません。

       -X      入力ファイルは IP パケットのテキスト記述からなりま
              す。

       -E     入力ファイルは etherfind のテキスト出力です。現在サ
              ポ ー ト さ れ て い るテキストフォーマットは、次の
              etherfind オプションの組み合わせの出力です:

                 etherfind -n
                 etherfind -n -t


       -i <filename>
              入力を得るファイル名を指定します。デフォルトは標 準
              入力です。

       -r <filename>
              フィルタルールを読み取るファイル名を指定します。


関連項目

       ipf(5), ipf(8), snoop(1m), tcpdump(8), etherfind(8c)


バグ

       入力形式によっては、テストに有用なことがらすべてをカバーで
       きるほど十分に多種多様なパケットを表現できません。



                                                       ipftest(1)

ABELNET VPSサービス