iplog.conf - iplog configuration file.


DESCRIPTION
Upon execution and upon being restarted, iplog reads a list of configuration rules from its configuration file. The default location of this file is /etc/iplog.conf.

実行か再起動時にiplogはルール設定リストを設定ファイルから読みこみます。このファイルのデフォルトの位置は /etc/iplog.conf です。

NOTATION
Throughout this document, required parameters will be denoted by enclosing the parame-ter in angle brackets <like this>. Optional parameters will be denoted by enclosing the parameter in square brackets [like this]. The '|' character is used to express exclusive or. For example [true|false] means you may give "true" or "false", but not both.

このドキュメント内の全てで、必要とされるパラメータは <> 括弧によって <このように> 括られます。オプションのパラメータは [] 括弧によって [このように] 括られます。'|' 文字は排他的ORを表します。例えば [true|false] は、あなたが "true" または "false" を与えることを意味します。ただし両方ではありません。

COMMENTS
The '#' character marks the beginning of a comment. C-style (/**/) comments are accepted, also.

'#' 文字はコメントの始まりを印します。Cスタイルのコメント "/**/" もまた受付けられます。

RULE CLASSES
There are nine classes of rules supported in the iplog configuration file. These rules are: set rules, interface rule, priority rule, facility rule, user rule, group rule, promisc rule, logfile rule, and pid-file rule.

iplog設定ファイルには9クラスのルールが存在します。set rules、interface rule、priority rule、facility rule、user rule、group rule、promisc rule、logfile rule、pid-file rule、がそれらのルールです。

SET RULE SYNTAX
Set rules allow for boolean program options to be enabled or disabled at runtime.
The syntax for "set" rules is:
set <keyword> [true|false]

Set rules は有効か無効化のブールプログラムオプションをランタイム内で許可します。
"set" ルールの構文:
set <keyword> [true|false]

SET KEYWORDS
tcp
Log or ignore TCP traffic.
TCPトラフィックを記録または無視する。

udp
Log or ignore UDP traffic.
UDPトラフィックを記録または無視する。

icmp
Log or ignore ICMP traffic.
ICMPトラフィックを記録または無視する。

frag
Enable or disable detection of IP fragment attacks
(duplicated and overlapping fragments).
IPフラグメント攻撃検知機能を有効または無効にする。
(二重フラグメントとオーバーラップフラグメント)

smurf
Enable or disable detection of "smurf" attacks.
"smurf"攻撃の検知機能を有効または無効にする。

bogus
Enable or disable detection of TCP packets with invalid TCP flags set. Programs such as nmap and queso may set these flags while trying to perform OS detection.
無効なTCPフラグ構成によるTCPパケット検出を有効または無効にする。nmapやquesoのようなプログラムがOS探知を試みる時に構成される。

log_ip
Enable or disable logging IP addresses in addition to host names.
ホストネームに追加されたIPアドレスの記録を有効または無効にする。

log_dest
Log the destination address of IP packets that are received.
受信した宛先アドレスのIPパケットを記録する。

stdout
Enable or disable logging to stdout. This option is incompatible with the "log-file" keyword.
標準出力へのロギングを有効または無効にする。このオプションは "log-file" オプションと同時に使用できない。

no_fork
Enable or disable running in the foreground.
フォアグラウンドでの動作を有効または無効にする。

verbose
Enable or disable verbose mode. In verbose mode, packets with invalid checksums and truncated headers are logged.
詳細モードを有効または無効にする。詳細モードでは、不正なチェックサムのパケットと切詰められたヘッダを持つパケットを記録する。

fin_scan
Enable or disable the detection of TCP FIN scans.
TCP FINスキャンの検知を有効または無効にする。

syn_scan
Enable or disable the detection of TCP SYN scans.
TCP SYNスキャンの検知を有効または無効にする。

udp_scan
Enable or disable the detection of UDP scans and UDP floods.
UDPスキャンとUDPフラッド攻撃の検知を有効または無効にする。

portscan
Enable or disable the detection of TCP port scans.
TCPポートスキャンの検知を有効または無効にする。

fool_nmap
Enable or disable a mechanism that attempts to fool programs, such as nmap and queso, that perform remote OS detection. As a side effect, enabling this option will also cause most of nmap's "stealth" scans to fail.
nmapやquesoのようなリモートのOS検知を騙すプログラムを試みる機能を有効または無効にする。副次的な効果として、nmapのステルススキャンの殆どを失敗させる原因となる。

xmas_scan
Enable or disable the detection of TCP XMas scans.
TCP Xmasスキャンの検知を有効または無効にする。

null_scan
Enable or disable the detection of TCP null scans.
TCP nullスキャンの検知を有効または無効にする。

get_ident
Enable or disable fetching IDENT info for connections to local ports that are listening. This option is only available on Linux.
リスンしているローカルポートへのコネクションに対するIDENT情報の取得を有効または無効にする。このオプションはLinux上のみで有効である。

dns_cache
Enable or disable the use of a built-in DNS cache.
ビルトインDNSキャッシュの使用を有効または無効にする。

syn_flood
If this option is enabled, iplog will stop resolving IP addresses (until the flood ends) if a SYN flood is detected.
もしこのオプションが有効であれば、iplogはフラッド攻撃の検知時に攻撃が止むまでIPアドレスの逆引きを停止する。

ignore_dns
If this option is enabled, DNS traffic from hosts listed in /etc/resolv.conf will be ignored.
もしこのオプションが有効であれば、/etc/resolv.confに記載されたホストからのDNSトラフィックを無視する。

ping_flood
Enable or disable detection of ICMP ping floods.
ICMP pingフラッド攻撃の検知を有効または無効にする。

scans_only
Enable or disable detecting only scans and floods.
スキャンとフラッド攻撃のみの検知を有効または無効にする。

traceroute
Enable or disable detection of traceroute.
tracerouteの検知を有効または無効にする。

udp_resolve
Enable or disable looking up the host names for the source and destination hosts for UDP traffic.
UDPトラフィックの発信元と送信先ホスト名の解決を有効または無効にする。

tcp_resolve
Enable or disable looking up the host names for the source and destination hosts for TCP traffic.
TCPトラフィックの発信元と送信先ホスト名の解決を有効または無効にする。

icmp_resolve
Enable or disable looking up the host names for the source and destination hosts for ICMP traffic.
ICMPトラフィックの発信元と送信先ホスト名の解決を有効または無効にする。

disable_resolver
Enable or disable turning off host name lookups for all traffic.
全てのトラフィックのホスト名解決を停止する機能を有効または無効にする。

INTERFACE RULE SYNTAX
The interface rule is used to define the interfaces on which iplog will listen.
The rule format for the interface rule is:
interface <if0,...,ifN>
Where ifX is an interface name.

interface rule はiplogがリスンするインターフェースを定義するために使用される。
interface rule のフォーマット:
interface <if0,...,ifN>
ifX はインターフェースネームを指します。

PRIORITY RULE SYNTAX
The priority rule is used to define the syslog(3) priority (or level) that iplog will use.
The rule format for the priority rule is:
priority <syslog_priority>
See the syslog(3) for a list of valid priority levels.

priority rule は iplog が使用する syslog(3) の priority を定義するために使用される。
priority rule のフォーマット:
priority <syslog_priority>
有効な syslog priority のリストを syslog(3) のmanページで参照してください。

FACILITY RULE SYNTAX
The facility rule is used to define the syslog(3) facility that iplog will use.
The rule format for the facility rule is:
facility <syslog_facility>
See the syslog(3) for a list of valid syslog facilities.

facility rule はiplogが使用するsyslog(3)のfacilityを定義するために使用される。
facility rule のフォーマット:
facility <syslog_facility>
有効な syslog facility のリストを syslog(3) の man ページで参照してください。

USER RULE SYNTAX
The user rule is used to define which user iplog will run as.
The user rule format is:
user <UID|username>

user rule は iplog がどのユーザレベルで動作するか定義するために使用されます。
user rule のフォーマット:
user <UID|username>

GROUP RULE SYNTAX
The group rule is used to define which group iplog will run with.
The group rule format is:
group <GID|group>

group rule は iplog がどのグループレベルで動作するか定義するために使用されます。
group rule のフォーマット:
group <GID|group>

LOGFILE RULE SYNTAX
The logfile rule is used to define a file to which iplog will log its output. iplog can either log to syslog, to stdout or to a logfile, but only one.
The logfile rule format is:
logfile <path_to_logfile>

logfile rule は iplog が自身の log を出力するファイルを定義するために使用されます。iplog は syslog、標準出力、ログファイル、いづれへ記録することもまた可能です。しかし、どれかひとつだけです。
logfile rule のフォーマット:
logfile <path_to_logfile>

PID-FILE RULE SYNTAX
The pid-file rule is used to specify the location of iplog's pid file. The user that iplog will run as should have write access to the directory the specified file is in. The location of the pid file defaults to /var/run/iplog.pid.
This option should be used when iplog is set to run as a user that does not have write access to /var/run.
The pid-file rule format is:
pid-file <path_to_pid-file>

pid-file rule は iplog の PID ファイルの位置を指定するために使用されます。iplog が実行されるレベルのユーザが書込みアクセス権を持つディレクトリ内のファイルを指定します。
/var/run/iplog.pid がデフォルトの pid file の位置です。
このオプションは iplog が /var/run に書込みアクセス権を持たないユーザレベルで実行される場合に設定されるでしょう。
pid-file rule のフォーマット:
pid-file <path_to_pid-file>

PROMISC RULE SYNTAX
The promisc rule enables iplog to operate in promiscuous mode. In promiscuous mode, iplog examines traffic to all visible hosts on the local network.
The rule format for the promisc rule is:
promisc <network0,...,networkN>

promisc rule はプロミスカスモードで iplog を動作させることができます。プロミスカスモードで iplog は、ローカルネットワーク上で見ることのできるすべてのホストのトラフィックを検査します。
promisc rule のフォーマット:
promisc <network0,...,networkN>

FILTER RULE SYNTAX
The rule format for TCP and UDP filters is:
<log|ignore> <tcp|udp>
from [!]<address>[/<mask>]]
[sport [!]<port-start[:[<port-end>]]]
[to [!]<address>[/<mask>]]
[dport [!]<port-start[:[<port-end>]]>]
(All on one line)

TCP と UDP フィルターのフォーマットルール:
<log|ignore> <tcp|udp>
from [!]<address>[/<mask>]]
[sport [!]<port-start[:[<port-end>]]]
[to [!]<address>[/<mask>]]
[dport [!]<port-start[:[<port-end>]]>]
(すべて1ラインに収めます)

The rule format for ICMP filters is:
<log|ignore> icmp
[type [!]<type>]
[from [!]<address>[/<mask>]]
[to [!]<address>[/<mask>]]
(All on one line)

ICMP フィルターのフォーマットルール:
<log|ignore> icmp
[type [!]<type>]
[from [!]<address>[/<mask>]]
[to [!]<address>[/<mask>]]
(すべて1ラインに収めます)

FILTER KEYWORDS
The sense of a keyword can be inverted by prefixing its argument with a '!' character.
'!'プリフィクスを変数と一緒にすることにより、逆のキーワードとすることができる。

log
Log packets matching the rule. Either this or ignore must be the first keyword specified in a rule. The log and ignore keywords cannot be used in the same rule.
ルールとマッチしたパケットを記録する。log か ignore キーワードはルールの中で始めに指定されなければならない。log と ignore キーワードは同時に同じルール内で使うことはできない。

ignore
Ignore packets matching the rule. Either this or log must be the first keyword specified in a rule. The log and ignore keywords cannot be used in the same rule.
ルールとマッチしたパケットを無視する。ignore か log キーワードはルールの始めに指定されなければならない。log と ignore キーワードは同時に同じルール内で使うことはできない。

tcp
Specifies this rule should be applied to TCP traffic. Exactly one of the tcp, udp and icmp keywords must be used in each rule.
このルールがTCPトラフィックに適用されるべきか指定する。tcp、udp、icmp キーワードはそれぞれのルールの中で正確に使用さればならない。

udp
Specifies this rule should be applied to UDP traffic. Exactly one of the tcp, udp and icmp keywords must be used in each rule.
このルールがUDPトラフィックに適用されるべきか指定する。tcp、udp、icmp キーワードはそれぞれのルールの中で正確に使用さればならない。

icmp
Specifies this rule should be applied to ICMP traffic. Exactly one of the tcp, udp and icmp keywords must be used in each rule.
このルールがICMPトラフィックに適用されるべきか指定する。tcp、udp、icmp キーワードはそれぞれのルールの中で正確に使用さればならない。

from <Address parameter>
The from keyword specifies the source address(es) the rule will match.
from キーワードはルールがマッチする送信元アドレスを指定する。

to <Address parameter>
The to keyword specifies the destination address(es) the rule will match.
to キーワードはルールがマッチする宛先アドレスを指定する。

sport <Port parameter>
The sport keyword specifies the source port(s) the rule will match. This keyword is applicable only to TCP and UDP rules.
sport キーワードはルールがマッチする送信元ポートを指定する。このキーワードはTCPとUDPルールにのみ適用できる。

dport <Port parameter>
The dport keyword specifies the destination port(s) the rule will match. This keyword is applicable only to TCP and UDP rules.
dport キーワードはルールがマッチする宛先ポートを指定する。このキーワードはTCPとUDPルールにのみ適用できる。

type <Type parameter>
The type keyword specifies an ICMP type. This keyword is applicable only to ICMP rules.
type キーワードはICMPタイプを指定する。このキーワードはICMPルールにのみ適応できる。

FILTER PARAMETER SYNTAX
An asterisk character ('*') may be used as a wildcard for any parameter.
アスタリスク文字('*')はいくつかのパラメータでワイルドカードとして使われるだろう。

Address parameters
The syntax for an address parameter is [!][/] . The addr tokenspecifies the address the rule will match. This token may be specified in quad-dot notation or as a fully qualified domain name (FQDN). The mask token is optional, and is used to specify a range of addresses the rule will match. The mask token may be specified either in quad-dot notation, as a FQDN or in CIDR notation. If the mask token is present, the addr token will be treated as a network address.
アドレスパラメータの構文は[!]<addr>[/<mask>]である。addr はルールとマッチするアドレスを指定する。addr は4つにドットで区切られた表記か、完全表記のドメイン名(FQDN)で指定されるだろう。mask はオプションであり、ルールがマッチするアドレスの範囲を指定する。mask は4つにドットで区切られた表記か、FQDN または CIDR で表記される。もし mask が指定されていれば、addr はネットワークアドレスとして取り扱われる。

Port parameters
The syntax for a port parameter is [!]]]> . The port-start token specifies the port the rule will match. This token may be specified as either a decimal number or as a service name (e.g. "telnet"). The optional port-endtoken is used to define port ranges the rule will match. The port-end token also may be specified as either a decimal number or a service name. When the port-end token is present, the port-start token is interpreted as the first port the rule will match. Suffixing port-start witha ':' but omitting the port-end parameter causes port-end to be implicitly set to 65535 (i.e. all ports greater than or equal to port-start will be matched).In general, "port1:portN" will match all ports from port1 to portN, inclusive. "port1:" matches all ports from port1 to 65535, inclusive.
ポートパラメータの構文は [!]<port-start[:[<port-end>]]>である。port-start はルールとマッチするポートを指定する。port-start は10進表記の数字かサービス名(例えば "telnet")のどちらかで指定されるだろう。オプションの port-end はルールがマッチするポートの範囲を定義するために使われる。port-end もまた10進表記の数字かサービス名のどちらかで指定されるだろう。port-end が指定されている場合には、port-start はルールがマッチする開始ポートとして解釈される。port-startの後ろには':'を付けるが、port-end パラメータを省略すると65535が指定されたものとして扱われる。(例えば、port-start と同じか大きい全てのポートとマッチする)まとめると、'port1:portN' は port1 から portN まで、それ自身を含む全てのポートにマッチする。'port1:' は port1 から 65535 まで、それ自身を含む全てのポートにマッチする。

Type parameters
Either integers or a string can be used to specify a type parameter. Obviously, only an integer can be used to describe a type that has no name. "ICMP_" may precede any of the names. Legal type parameters follow:
typeパラメータには整数または文字列のどちらかを使用することができる。また特に整数だけが NAME の無い type を指定できる。いくつかの NAME の前には'ICMP_'を付加するだろう。 正しい type パラメータは以下の通りである。 

		NAME			CODE
		ECHOREPLY		 0
		n/a			 1
		n/a			 2
		UNREACH			 3
		SOURCEQUENCH		 4
		REDIRECT		 5
		n/a			 6
		n/a			 7
		ECHO			 8
		ROUTERADVERT		 9
		ROUTERSOLICIT		10
		TIMXCEED		11
		PARAMPROB		12
		TSTAMP			13
		TSTAMPREPLY		14
		IREQ			15
		IREQREPLY		16
		MASKREQ			17
		MASKREPLY		18


GENERAL FILTER SYNTAX
* Case is ignored in all places, except for in a service name (i.e. "telnet").
* case はサービス名を除く全ての場所において無視される。

* All parameters are optional except "log" or "ignore" and "tcp" "udp" and "icmp". Either log or ignore must be specified for each rule. Exactly one of the "tcp" "udp" and "icmp" parameters must be specified for each rule.
* "log"、"ignore"、"tcp"、"udp"、"icmp" を除く全てのパラメータはオプションである。"log" と "ignore" はそれぞれのルール行に記述されなければならない。さらには、"tcp"、"udp"、"icmp"のいづれかのパラメータがそれぞれのルール行で記述されなければならない。

* The order in which the rules are listed is not significant in regard to "log" or "ignore". The entries will be reordered such that all "log" statements precede all "ignore" statements.
* "log" と "ignore" についてはルールファイル内で記述される順序は意味を持たない。すべての "log" は "ignore" よりも高い優先順位を持ち、該当するトラフィックは記録される。

EXAMPLES
Run as user nobody.
nobody ユーザとして実行する。
  user nobody

Run with group nogroup.
nogroup グループで実行する。
  group nogroup

Log to /var/log/iplog
/var/log/iplog に記録する。
  logfile /var/log/iplog

Use the syslog(3) facility log_daemon.
syslog(3) の log_daemon ファシリティを使用する。
  facility log_daemon

Use the syslog(3) priority (level) log_info.
syslog(3) の log_info プライオリティレベルを使用する。
  priority log_info

Log the IP address as well as the hostname of packets.
hostname と一緒に IP address を記録する。
  set log_ip true

Do not log the destination of packets.
宛先アドレスのパケットを記録しない。
  set log_dest false

Ignore DNS traffic from nameservers in /etc/resolv.conf.
/etc/resolv.conf に記述されたネームサーバからのDNSトラフィックを無視する。
  set ignore_dns

Listen on eth0 and eth1
eth0 と eth1 をリスンする。
  interface eth0,eth1

Ignore DNS traffic from nameservers.
ネームサーバからのDNSトラフィックを無視する。
  ignore udp from 192.168.0.1 sport 53
  ignore udp from 192.168.0.2 sport 53

NOTE: (Using the -d option will add similar rules for all nameservers listed in /etc/resolv.conf).
注意:-d オプションは/etc/resolv.conに記述さえた全てのネームサーバを同じように付け加える。

Log connections with source port ftp-data (20) to ports 1045-1055, inclusive.
ソースポート ftp-data(20) から 1045-1055 ポートへのコネクションを記録する。
  log tcp dport 1045:1055 sport ftp-data

Ignore ftp-data connections from to ports 1024 and above.
ftp-data コネクションで 1024 以上のポートへのコネクションを無視する。
  ignore tcp dport 1024: sport 20

Ignore WWW connections.
WWW コネクションを無視する。
  ignore tcp dport 80

ignore ICMP unreach.
ICMP_UNREACHABLE を無視する。
  ignore icmp type unreach
    or
  ignore icmp type 3

Ignore ICMP traffic with any type other than ECHO
ICMP_ECHO 以外の ICMP トラフィックを無視する。
  ignore icmp type !echo

Ignore UDP traffic from the 127.1.2 network
127.1.2 ネットワークからの UDP トラフィックを無視する。
  ignore udp from 127.1.2/24
    or
  ignore udp from 127.1.2/255.255.255.0

AUTHOR
Ryan McCabe

SEE ALSO
iplog(8) syslog(3) services(5)