[[Category:パッケージ管理]]
[[Category:一覧]]
[[en:Unofficial user repositories]]
[[zh-hans:Unofficial user repositories]]
{{Related articles start}}
{{Related|公式リポジトリ}}
{{Related articles end}}
{{Warning|Arch Linux の正式な開発者や [[Package Maintainers]] はこれらのリポジトリの中身を検証するためのいかなる種類のテストも実行していません。リポジトリのメンテナを信頼するか決めるのはユーザー次第であり、自分で決定する以上、完全に自己責任です。}}
この記事ではコミュニティによって自由に作成・共有されたバイナリリポジトリを並べています。多くは [[AUR]] にある PKGBUILD のビルド済みバージョンを提供しています。

ここにあるリポジトリを使用するには、[[pacman#リポジトリとミラー]] で説明されているように、リポジトリを {{ic|/etc/pacman.conf}} に追加する必要があります。リポジトリに署名がある場合は、[[Pacman-key#非公式な鍵を追加]]に書かれているように、適当なキーを取得してローカルで署名してください。

自分でカスタムリポジトリを作ってみたい場合は、[[pacman ヒント#カスタムローカルリポジトリ]]を見て下さい。

リポジトリによっては、x86_64 でないアーキテクチャ用のパッケージも含まれています。pacman により {{ic|$arch}} 変数が自動的に設定されます。

== このページにリポジトリを追加 ==

もしリポジトリを持っているのならば、このページに記述することで、他のユーザーがあなたのパッケージを見つけられるようになります。新しいリポジトリを追加するときは以下のルールを守って下さい:

* リストはアルファベット順です。
* メンテナに関する情報を書いて下さい: 最低でも (ニックネームでいいので) 名前と連絡先 (ウェブサイト、メールアドレス、ArchWiki やフォーラムのユーザーページなど何でも OK) を残して下さい。
* リポジトリが''署名あり''の場合は、key-id を書いて、鍵サーバーへのリンクとして使って下さい。キーがキーサーバー上にない場合は、鍵ファイルへのリンクを書いて下さい。
* 簡単な説明 (例: リポジトリで提供しているパッケージのジャンル)。
* リポジトリに関する詳しい情報が載っているページ (ArchWiki でも外部のウェブサイトでも) がある場合は、そのページヘのリンクを加えて下さい。
* 可能であれば、コードブロックでコメントをしないで下さい。説明は整形したほうがずっと可読性が高くなります。{{ic|pacman.conf}} にコメントを残したいユーザーは自分で作成することが簡単にできます。

== 署名あり ==

=== ada ===

* '''メンテナ:''' Rod Kay <rodakay5 at gmail dot com>
* '''説明:''' Arch Ada リポジトリ ~ [[Ada]] および SPARK プログラミング言語に関連するすべてのパッケージ。
* '''Key-ID:''' [https://keyserver.ubuntu.com/pks/lookup?op=vindex&fingerprint=on&exact=on&search=0xED55AF75B0330A2A3BAA9986B6120CD888A0DFD2 0xED55AF75B0330A2A3BAA9986B6120CD888A0DFD2]

{{bc|<nowiki>
[ada]
Server = http://www.orthanc.site:8080/assets/arch_ada_repo
</nowiki>}}

=== alerque ===

* '''メンテナ:''' [https://aur.archlinux.org/account/caleb Caleb Maclennan]
* '''説明:''' Typesetting, publishing, and font development related tools such as SILE, CaSILE, fontship, and related dependencies including many fonts, Lua Rocks, and Python modules. Also mattermost, asterisk, and most of the [https://aur.archlinux.org/packages/?O=0&SeB=M&K=caleb&outdated=&SB=n&SO=a&PP=250&do_Search=Go AUR packages I (co-)maintain].
* '''Git リポジトリ:''' https://github.com/alerque/aur
* '''Issue トラッキング:''' https://github.com/alerque/aur/issues
* '''Key-ID:''' [https://pgp.mit.edu/pks/lookup?op=get&search=0x63CC496475267693 63CC496475267693]

{{bc|<nowiki>
[alerque]
Server = https://arch.alerque.com/$arch
</nowiki>}}

=== ALHP ===

* '''メンテナ:''' [https://aur.archlinux.org/account/anonfunc Giovanni Harting]
* '''説明:''' ALHP — [https://www.reddit.com/r/archlinux/comments/oflged/comment/h4i46jw/ whatever you want it] — は、特定の x86-64 [[Wikipedia:X86-64#Microarchitecture levels|マイクロアーキテクチャレベル]]向けに追加の最適化を加えてコンパイルされた[[公式リポジトリ]]を提供します1:

:{| class="wikitable"
|-
! !! [[C]] と [[Wikipedia:C++|C++]] !! [[Fortran]] !! [[Go]] !! [[Rust]]
|-
| CPU マイクロアーキテクチャ
|
{{ic|CFLAGS}}:
: {{ic|1=-march=x86-64-v'''''N'''''}}

{{ic|KCFLAGS}}, {{ic|KCPPFLAGS}}2:
: {{ic|1=-march=x86-64-v'''''N'''''}}3
|
{{ic|FFLAGS}}:
: {{ic|1=-march=x86-64-v'''''N'''''}}
|
{{ic|1=GOAMD64=v'''''N'''''}}
|
{{ic|RUSTFLAGS}}:
: {{ic|1=-C target-cpu=x86-64-v'''''N'''''}}
|-
| [[Wikipedia:Interprocedural optimization#Unix-like|リンク時最適化]] (LTO)
|
{{ic|LTOFLAGS}}:
: [https://github.com/InBetweenNames/gentooLTO/issues/164#issuecomment-435641714 -falign-functions=32]
|
|
|
{{ic|1=CARGO_PROFILE_RELEASE_LTO=fat}}

{{ic|RUSTFLAGS}}:
: {{ic|1=-C codegen-units=1}}
|-
| その他
|
{{ic|CFLAGS}}:
: {{ic|-O3}}
: {{ic|-mpclmul}}

{{ic|KCFLAGS}}, {{ic|KCPPFLAGS}}:
: {{ic|-O3}}4
|
{{ic|FFLAGS}}:
: {{ic|-O3}}
|
|
{{ic|RUSTFLAGS}}:
: {{ic|1=-C opt-level=3}}
: {{ic|1=-C link-arg=-z}}
: {{ic|1=-C link-arg=pack-relative-relocs}}
|}

:# 現在のコンパイルフラグは https://somegit.dev/ALHP/ALHP.GO/src/branch/main/flags.yaml と https://alhp.dev/makepkg/ で確認してください。 [[makepkg#Optimization]] も参照してください。
:# [https://somegit.dev/ALHP/ALHP.GO/issues/68 直接リンクされたカーネルモジュール]の代わりに [[Dynamic Kernel Module Support]] (DKMS) パッケージを使用する[https://somegit.dev/ALHP/ALHP.GO#directly-linked-kernel-modules 必要があります]。たとえば、{{ic|nvidia}}、{{Pkg|virtualbox-host-modules-arch}}、[[#ArchZFS|ArchZFS]] のユーザーが影響を受けます。
:# [[カーネル]]のコンパイルに {{ic|-march}} を設定しても、大きな効果は[https://bbs.archlinux.org/viewtopic.php?pid=2226107#p2226107 得られません]。
:# カーネルのコンパイルに {{ic|-O3}} を設定することには[https://www.phoronix.com/review/linux-kernel-o3/9 疑問があります]。

: [https://somegit.dev/ALHP/ALHP.GO/issues/16 ブラックリスト入りパッケージ]も参照してください。

* '''Git リポジトリ:''' https://somegit.dev/ALHP/ALHP.GO
* '''キーリング:''' {{AUR|alhp-keyring}}
* '''ミラー:''' {{AUR|alhp-mirrorlist}}
* [[debuginfod]]: https://debuginfod.alhp.dev

[core-x86-64-v'''''N''''']
Include = /etc/pacman.d/alhp-mirrorlist

[extra-x86-64-v'''''N''''']
Include = /etc/pacman.d/alhp-mirrorlist

[multilib-x86-64-v'''''N''''']
Include = /etc/pacman.d/alhp-mirrorlist

{{Warning|[https://somegit.dev/ALHP/ALHP.GO#1-check-your-system-for-support システムが対応しているか確認してください]。対応していないオプションを選択すると、システムを起動できなくなる可能性があります。}}

{{Note|
* [https://status.alhp.dev/ ステータス]を確認してください。''Building'' の場合、[[部分アップグレード]]になってしまう[https://somegit.dev/ALHP/ALHP.GO/issues/281#issuecomment-4227 可能性があります]。
* ALHP はパッケージの [[Arch Linux Archive|アーカイブ]]を[https://somegit.dev/ALHP/ALHP.GO/issues/264 提供していません]。
}}

=== andontie-aur ===

* '''メンテナ:''' Holly M.
* '''説明:''' A repo containing the most popular AUR packages, as well as some I use all the time. New packages can be requested on the upstream website.
* '''Key-ID:''' EA50C866329648EE
* '''上流ページ:''' https://aur.andontie.net

{{bc|<nowiki>
[andontie-aur]
Server = https://aur.andontie.net/$arch
</nowiki>}}
=== arcanisrepo ===

* '''メンテナ:''' [https://www.archlinux.org/people/trusted-users/#arcanis arcanis]
* '''説明:''' 複数の AUR パッケージが含まれているリポジトリ (VCS 版のパッケージも存在)。
* '''Key-ID:''' 不要、メンテナは TU です。

{{bc|<nowiki>
[arcanisrepo]
Server = https://repo.arcanis.me/repo/$arch
</nowiki>}}

{{Tip|同一の URL で FTP からもアクセスできます。}}

=== arch4edu ===

* '''メンテナ:''' [https://github.com/petronny Jingbei Li (petronny)], [https://github.com/arch4edu/arch4edu/graphs/contributors others]
* '''説明:''' arch4edu is a community repository for Archlinux and ArchlinuxARM that strives to provide the latest versions of most software used by college students.
* '''Git リポジトリ:''' https://github.com/arch4edu/arch4edu
* '''Issue トラッキング:''' https://github.com/arch4edu/arch4edu/issues for packaging issues, out-of-date notifications, package requests, and related questions
* '''ミラー:''' https://github.com/arch4edu/arch4edu/wiki/Add-arch4edu-to-your-Archlinux
* '''Key-ID:''' 7931B6D628C8D3BA

{{bc|<nowiki>
[arch4edu]
Server = https://mirrors.tuna.tsinghua.edu.cn/arch4edu/$arch
## or other mirrors in https://github.com/arch4edu/arch4edu/wiki/Add-arch4edu-to-your-Archlinux
</nowiki>}}

=== archlinuxcn ===

* '''メンテナ:''' [https://plus.google.com/+PhoenixNemo/ Phoenix Nemo (phoenixlzx)], [https://www.archlinux.org/people/developers/#fyan Felix Yan (felixonmars, dev)], [https://twitter.com/lilydjwg lilydjwg], [https://www.archlinux.org/people/trusted-users/#farseerfc farseerfc (TU)], and [https://github.com/archlinuxcn/repo/graphs/contributors others]
* '''説明:''' Arch Linux の中国コミュニティによるパッケージ (全て署名済み)。i686 のパッケージはメンテナンスが不完全です。問題があったら issue を作成してください。
* '''Git リポジトリ:''' https://github.com/archlinuxcn/repo
* '''Issue トラッキング:''' https://github.com/archlinuxcn/repo/issues for packaging issues, out-of-date notifications, package requests, and related questions
* '''ミラー:''' https://github.com/archlinuxcn/mirrorlist-repo (主に中国本土のユーザー向け) もしくは ''archlinuxcn-mirrorlist-git'' をこのリポジトリからインストールしてください。
* '''Key-ID:''' Once the repo is added, ''archlinuxcn-keyring'' package must be installed before any other so you do not get errors about PGP signatures. ''archlinuxcn-keyring'' パッケージそのものは TU により署名されています。

{{bc|<nowiki>
[archlinuxcn]
Server = http://repo.archlinuxcn.org/$arch
## or install archlinuxcn-mirrorlist-git and use the mirrorlist
#Include = /etc/pacman.d/archlinuxcn-mirrorlist
</nowiki>}}

=== archzfs ===

* '''メンテナ:''' [https://aur.archlinux.org/account/minextu Jan Houben (minextu)]
* '''説明:''' Packages for ZFS on Arch Linux.
* '''上流ページ:''' https://github.com/archzfs/archzfs
* '''Key-ID:''' F75D9D76

{{bc|<nowiki>
[archzfs]
Server = http://archzfs.com/$repo/x86_64
Server = http://mirror.sum7.eu/archlinux/archzfs/$repo/x86_64
Server = https://mirror.biocrafting.net/archlinux/archzfs/$repo/x86_64
</nowiki>}}

=== ashleyis ===

* '''メンテナ:''' Ashley Towns ([https://aur.archlinux.org/account/ashleyis/ ashleyis])
* '''説明:''' SDL, chipmunk, libtmx などのゲームライブラリのデバッグ版。swift-lang などの AUR パッケージも入っています。
* '''Key-ID:''' B1A4D311

{{bc|<nowiki>
[ashleyis]
Server = http://arch.ashleytowns.id.au/repo/$arch
</nowiki>}}

=== blackeagle-pre-community ===

* '''メンテナ:''' [https://www.archlinux.org/people/trusted-users/#idevolder Ike Devolder]
* '''説明:''' メンテしているパッケージを ''community'' リポジトリに移動するまえにテストするためのリポジトリ
* '''Key-ID:''' 不要、メンテナは TU です。

{{bc|<nowiki>
[blackeagle-pre-community]
Server = https://repo.herecura.be/$repo/$arch
</nowiki>}}

=== chaotic-aur ===

* '''メンテナ:''' [https://github.com/pedrohlc PedroHLC] および [https://github.com/librewish Librewish]
* '''説明:''' メンテナが利用している AUR パッケージが自動的にコンパイルされ、毎時間更新されます (毎日更新されるパッケージもあります)。ブラジルの São Carlos, SP でホストされ、ドイツとアメリカにミラーサーバがあります。x86_64 のみです。1600 以上のパッケージがあります。
* '''Key-ID:''' [http://pool.sks-keyservers.net/pks/lookup?search=0x3056513887B78AEB&fingerprint=on&op=index], 指紋 {{ic|EF92 5EA6 0F33 D0CB 85C4 4AD1 3056 5138 87B7 8AEB }}
* '''Note:''' [https://lonewolf.pedrohlc.com/chaotic-aur maintainer's notes] を参照してください。
{{bc|<nowiki>
[chaotic-aur]
Server = http://lonewolf-builder.duckdns.org/$repo/x86_64
Server = http://chaotic.bangl.de/$repo/x86_64
Server = https://repo.kitsuna.net/x86_64
</nowiki>}}

=== catalyst ===

* '''メンテナ:''' [[en2:User:Vi0L0|Vi0l0]]
* '''説明:''' ATI Catalyst プロプライエタリドライバー。
* '''Key-ID:''' 653C3094

{{bc|<nowiki>
[catalyst]
Server = https://167.86.114.169/arch/catalyst/$arch
</nowiki>}}

=== catalyst-hd234k ===

* '''メンテナ:''' [[en2:User:Vi0L0|Vi0l0]]
* '''説明:''' ATI Catalyst プロプライエタリドライバー。
* '''Key-ID:''' 653C3094

{{bc|<nowiki>
[catalyst-hd234k]
Server = https://167.86.114.169/arch/catalyst-hd234k/$arch
</nowiki>}}

=== city ===

* '''メンテナ:''' [https://www.archlinux.org/people/trusted-users/#bgyorgy Balló György]
* '''説明:''' 実験的/マイナーなパッケージ。
* '''上流ページ:''' https://pkgbuild.com/~bgyorgy/city.html
* '''Key-ID:''' 不要、メンテナは TU です。

{{bc|<nowiki>
[city]
Server = https://pkgbuild.com/~bgyorgy/$repo/os/$arch
</nowiki>}}

=== coderkun-aur ===

* '''メンテナ:''' [https://aur.archlinux.org/account/coderkun/ coderkun]
* '''説明:''' AUR パッケージと様々なソフトウェア。パッケージ差分とパッケージ・パッケージ署名をサポート。
* '''上流ページ:''' https://www.suruatoel.xyz/arch
* '''Key-ID:''' 39E27199A6BEE374
* '''キーファイル:''' [https://www.suruatoel.xyz/coderkun.key https://www.suruatoel.xyz/coderkun.key]{{Dead link|2020|02|26}}

{{bc|<nowiki>
[coderkun-aur]
Server = http://arch.suruatoel.xyz/$repo/$arch/
</nowiki>}}

=== coderkun-aur-audio ===

* '''メンテナ:''' [https://aur.archlinux.org/account/coderkun/ coderkun]
* '''説明:''' AUR パッケージとオーディオ関連のソフトウェア (リアルタイムカーネル, lv2-plugins, ...)。パッケージ差分とパッケージ・パッケージ署名をサポート。
* '''上流ページ:''' https://www.suruatoel.xyz/arch
* '''Key-ID:''' 39E27199A6BEE374
* '''キーファイル:''' [https://www.suruatoel.xyz/coderkun.key https://www.suruatoel.xyz/coderkun.key]

{{bc|<nowiki>
[coderkun-aur-audio]
Server = http://arch.suruatoel.xyz/$repo/$arch/
</nowiki>}}

=== devkitpro ===

* '''メンテナ:''' [https://devkitpro.org/ wintermute]
* '''説明:''' Nintendo Wii, Gamecube, DS, GBA, Gamepark gp32 および Nintendo Switch の自家製ツールチェイン
* '''上流ページ:''' https://devkitpro.org/wiki/devkitPro_pacman
* '''Key-ID:''' F7FD5492264BB9D0

{{Note|Repository has its own additional keyring at https://downloads.devkitpro.org/devkitpro-keyring-r1.787e015-2-any.pkg.tar.xz.}}

{{bc|<nowiki>
[dkp-libs]
Server = https://downloads.devkitpro.org/packages
[dkp-linux]
Server = https://downloads.devkitpro.org/packages/linux
</nowiki>}}

=== disastrousaur ===

* '''メンテナ:''' [https://aur.archlinux.org/account/TheGoliath TheGoliath]
* '''説明:''' Well known AUR package managers, many of the most popular packages available on the AUR, as well as those that I favor myself
* '''上流ページ:''' https://mirror.repohost.de/disastrousaur
* '''Key-ID:''' CBAE582A876533FD
* '''キーファイル:''' [https://mirror.repohost.de/disastrousaur.key https://mirror.repohost.de/disastrousaur.key]
{{Warning|disastrousaur and disastrousarm have now been merged under the disastrousaur name Please make sure you have changed the Server URL for your repos accordingly. Builds for other architectures may come out as I got enough time getting things running. }}
{{bc|<nowiki>
[disastrousaur]
Server = https://mirror.repohost.de/$repo/$arch
</nowiki>}}

=== dvzrv ===

* '''メンテナ:''' [https://www.archlinux.org/people/developers/#dvzrv David Runge]
* '''説明:''' [[リアルタイムカーネル]]パッチセット (aka. {{AUR|linux-rt}} および {{AUR|linux-rt-lts}})
* '''Key-ID:''' 不要、メンテナは開発者/TU です。

{{bc|<nowiki>
[dvzrv]
Server = https://pkgbuild.com/~dvzrv/repo/$arch
</nowiki>}}

=== ear ===

* '''メンテナ:''' [https://wardsegers.be Ward Segers],
* '''説明:''' Editicalu's ArchLinux Repository. Contains precompiled AUR packages (mostly the ones maintained by editicalu)
* '''Homepage:''' https://ear.wardsegers.be/
* '''上流ページ:''' https://gitlab.com/editicalu/ear
* '''キーファイル:''' https://ear.wardsegers.be/signingkey.asc
* '''Key-ID:''' A9C4E7734638ACF8

{{Note|Instructions can be found at https://ear.wardsegers.be}}

{{bc|<nowiki>
[ear]
Server = https://ear.wardsegers.be/$arch
</nowiki>}}

=== eatabrick ===

* '''メンテナ:''' bentglasstube
* '''説明:''' bentglasstube により作成された (いくつかはコンパイルのみされ) ソフトウェアのパッケージ。

{{bc|<nowiki>
[eatabrick]
Server = http://repo.eatabrick.org/$arch
</nowiki>}}

=== eschwartz ===

* '''メンテナ:''' [https://www.archlinux.org/people/trusted-users/#eschwartz Eli Schwartz]
* '''説明:''' Personal repo with AUR packages and some core packages from git (including glibc and pacman). Contains debug packages.
* '''Key-ID:''' 不要、メンテナは TU です。

{{bc|<nowiki>
[eschwartz]
Server = https://pkgbuild.com/~eschwartz/repo/$arch
</nowiki>}}

=== ffy00 ===

* '''メンテナ:''' [https://www.archlinux.org/people/trusted-users/#FFY00 Filipe Laíns]
* '''説明:''' Personal repo. Contains misc packages related to hardware, cross-compilation, the D language, etc.
* '''Key-ID:''' 不要、メンテナは TU です。

{{bc|<nowiki>
[ffy00]
Server = https://pkgbuild.com/~ffy00/repo
</nowiki>}}

=== fusion809 ===

* '''メンテナ:''' [https://aur.archlinux.org/account/fusion809|Brenton Horne]] (brentonhorne77 at gmail dot com)
* '''説明:''' Provides a few AUR and other packages I like. Like CodeLite and bleeding-edge (latest release within 1 day of its release) GVim (GTK+ 2 interface).
* '''パッケージリスト:''' http://download.opensuse.org/repositories/home:/fusion809/Arch_Extra/x86_64/
* '''Key-ID:''' 03264DDCD606DC98
* '''キーファイル:''' https://download.opensuse.org/repositories/home:/fusion809/Arch_Extra/x86_64/home_fusion809_Arch_Extra.key

{{bc|<nowiki>
[home_fusion809_Arch_Extra]
Server = https://download.opensuse.org/repositories/home:/fusion809/Arch_Extra/$arch
</nowiki>}}

=== grawlinson ===

* '''メンテナ:''' [https://aur.archlinux.org/account/grawlinson George Rawlinson]
* '''説明:''' AUR packages maintained by the user as well as some experimental packages.
* '''パッケージリスト:''' https://repo.nullpointer.io
* '''Key-ID:''' 25EA6900D9EA5EBC
* '''キーファイル:''' https://repo.nullpointer.io/grawlinson.key

{{bc|<nowiki>
[grawlinson]
Server = https://repo.nullpointer.io
</nowiki>}}

=== gryffyn ===

* '''メンテナ:''' [https://aur.archlinux.org/account/gryffyn gryffyn]
* '''説明:''' Packages built for personal use (mainly cybersec-related) and AUR packages.
* '''パッケージリスト:''' https://repo.evan.mp
* '''Key-ID:''' [http://keys.gnupg.net/pks/lookup?op=vindex&fingerprint=on&search=0xE528F34B64DA8C9D E528F34B64DA8C9D]

{{bc|<nowiki>
[gryffyn]
Server = https://repo.evan.mp/$arch
</nowiki>}}

=== herecura ===

* '''メンテナ:''' [https://www.archlinux.org/people/trusted-users/#idevolder Ike Devolder]
* '''説明:''' ''community'' リポジトリに存在しない追加パッケージ
* '''Key-ID:''' 不要、メンテナは TU です。

{{bc|<nowiki>
[herecura]
Server = https://repo.herecura.eu/herecura/x86_64
</nowiki>}}

=== holo ===

* '''メンテナ:''' Stefan Majewsky <holo-pacman@posteo.de> (問題の報告は [https://github.com/majewsky/holo-pacman-repo/issues Github] にお願いします)
* '''説明:''' Packages for [https://holocm.org Holo configuration management], including compatible plugins and tools.
* '''上流ページ:''' https://github.com/majewsky/holo-pacman-repo
* '''パッケージリスト:''' https://repo.holocm.org/archlinux/x86_64
* '''Key-ID:''' 0xF7A9C9DC4631BD1A

{{bc|<nowiki>
[holo]
Server = https://repo.holocm.org/archlinux/x86_64
</nowiki>}}

=== ivasilev ===

* '''メンテナ:''' [https://ivasilev.net Ianis G. Vasilev]
* '''説明:''' 様々なパッケージ、主に Ianis のソフトウェアと AUR ビルド。
* '''上流ページ:''' https://ivasilev.net/pacman
* '''Key-ID:''' [https://pgp.mit.edu/pks/lookup?op=vindex&search=0xB77A3C8832838F1F80ADFD7E1D0507B417DAB671 17DAB671]

{{bc|<nowiki>
[ivasilev]
Server = https://ivasilev.net/pacman/$arch
</nowiki>}}

=== jlk ===

* '''メンテナ:''' [[en2:User:Lahwaacz|Jakub Klinkovský]]
* '''説明:''' ABS や AUR の様々なパッケージ。修正版のパッケージは {{ic|modified}} グループにあります。
* '''上流ページ:''' https://jlk.fjfi.cvut.cz/arch/repo/README.html
* '''Key-ID:''' 932BA3FA0C86812A32D1F54DAB5964AEB9FEDDDC

{{bc|<nowiki>
[jlk]
Server = https://jlk.fjfi.cvut.cz/arch/repo
</nowiki>}}

=== linux-nitrous ===

* '''メンテナ:''' [https://superboring.dev simao gomes viana (superboringdev or xdevs23)]
* '''説明:''' linux-nitrous is a repository with prebuilt packages of the [https://gitlab.com/xdevs23/linux-nitrous linux-nitrous kernel]
* '''git リポジトリ:''' https://gitlab.com/xdevs23/linux-nitrous
* '''issue トラッキング:''' https://github.com/xdevs23/linux-nitrous/issues for packaging issues and questions
* '''key-id:''' [https://pgp.mit.edu/pks/lookup?op=vindex&search=e9c2decac962cb3af1376d44148a9e3c9c3e3bf0 9c3e3bf0] (pgp.mit.edu), [http://hkps.pool.sks-keyservers.net/pks/lookup?search=0xe9c2decac962cb3af1376d44148a9e3c9c3e3bf0&op=get 9c3e3bf0] (hkps.pool.sks-keinclude some short description (e.g. the category of packages provided in the repository).yservers.net), [http://keys.gnupg.net/pks/lookup?search=0xe9c2decac962cb3af1376d44148a9e3c9c3e3bf0&op=get 9c3e3bf0] (keys.gnupg.net)

{{bc|<nowiki>
[linux-nitrous]
server = https://github.com/xdevs23/linux-nitrous/releases/latest/download/
</nowiki>}}

=== markzz ===

* '''メンテナ:''' [[en2:User:Markzz|Mark Weiman (markzz)]]
* '''説明:''' Packages that markzz maintains or uses on the AUR; this includes Linux with the vfio patchset ({{AUR|linux-vfio}} and {{AUR|linux-vfio-lts}}), and packages for analysis of network data.
* '''Key ID:''' DEBB9EE4

{{Note|''markzz-keyring'' パッケージをインストールして鍵を追加したい場合、一時的に {{ic|1=SigLevel = Never}} を追加してください。}}

{{bc|<nowiki>
[markzz]
Server = https://repo.markzz.com/arch/$repo/$arch
</nowiki>}}

=== maximbaz ===

* '''メンテナ:''' [https://www.archlinux.org/people/trusted-users/#maximbaz Maxim Baz]
* '''説明:''' Personal repo with AUR packages.
* '''Key-ID:''' 不要、メンテナは TU です。

{{bc|<nowiki>
[maximbaz]
Server = https://pkgbuild.com/~maximbaz/repo/
</nowiki>}}

=== me176c ===

* '''メンテナ:''' [https://github.com/lambdadroid lambdadroid]
* '''説明:''' Packages for [[en2:ASUS MeMO Pad 7 (ME176C(X))]]
* '''Key-ID:''' 2B1138A8BB59D786A3BF42AAD996DA70572407FB

{{bc|<nowiki>
[me176c]
Server = https://me176c.uber.space/archlinux
</nowiki>}}

=== miffe ===

* '''メンテナ:''' [https://bbs.archlinux.org/profile.php?id=4059 miffe]
* '''説明:''' miffe によってメンテされている AUR パッケージ、例: linux-mainline
* '''Key ID:''' 313F5ABD

{{bc|<nowiki>
[miffe]
Server = https://arch.miffe.org/$arch/
</nowiki>}}

=== mikelpint ===

* '''メンテナ:''' [[en2:User:Mikelpint|Mikel Pintado (Mikelpint)]]
* '''説明:''' mikelpint がメンテしている AUR のパッケージ
* '''Key ID:''' 5CA78FC65B189E2B

{{bc|<nowiki>
[mikelpint]
Server = https://mikelpint.github.io/repository/archlinux/repo
</nowiki>}}

=== Minerva W Science ===

* '''メンテナ:''' Minerva W
* '''説明:''' [[OpenFOAM]] パッケージ。
* '''Key-ID:''' 3FF21B78117507DA
* '''キーファイル:''' https://download.opensuse.org/repositories/home:/Minerva_W:/Science/Arch_Extra/x86_64/home_Minerva_W_Science_Arch_Extra.key

{{bc|<nowiki>
[home_Minerva_W_Science_Arch_Extra]
Server = https://download.opensuse.org/repositories/home:/Minerva_W:/Science/Arch_Extra/$arch
</nowiki>}}

=== mobile ===

* '''メンテナ:''' [https://keybase.io/farwayer farwayer]
* '''説明:''' React Native and Android development
* '''上流ページ:''' https://keybase.pub/farwayer/arch/mobile/
* '''Key ID:''' 7943315502A936D7

{{bc|<nowiki>
[mobile]
Server = https://farwayer.keybase.pub/arch/$repo
</nowiki>}}

=== nah ===

* '''メンテナ:''' [https://yeah.nah.nz phillid]
* '''説明:''' Pre-built versions of the (slow-to-build) graph-tool python libraries, mingw-w64
* '''Key ID:''' 7BF3D17D0884BF5B

{{bc|<nowiki>
[nah]
Server = https://repo.nah.nz/$repo
</nowiki>}}

=== nickcao ===

* '''メンテナ:''' [https://nichi.co/ NickCao]
* '''説明:''' Some (useful for some) packages from me, and some aur packages I personally use.
* '''Key-ID:''' 09CC69622E8D4EE343B4E8954D0BA456DF028C15

{{bc|<nowiki>
[nickcao]
Server = https://repo.nichi.co/$arch
</nowiki>}}

=== origincode ===
* '''メンテナ:''' [https://aur.archlinux.org/account/OriginCode OriginCode]
* '''説明:''' A few staging or testing packages from [[#archlinuxcn]], and some daily use packages.
* '''Key-ID:''' 0A5BAD445D80C1CC & 62BF97502AE10D22

{{bc|<nowiki>
[origincode]
Server = https://repo.origincode.me/repo/$arch
</nowiki>}}

=== oscloud ===

* '''メンテナ:''' [https://aur.archlinux.org/account/bionade24 bionade24]
* '''説明:''' ROS Melodic packages and needed dependencies from the AUR.
* '''Key-ID:''' CB222E7EBC11D682AAC8B317A4A0D73114FDE6FC

{{bc|<nowiki>
[oscloud]
Server = http://repo.oscloud.info/
</nowiki>}}

=== pkgbuilder ===

* '''メンテナ:''' [https://chriswarrick.com/ Chris Warrick]
* '''説明:''' Python の AUR ヘルパー、PKGBUILDer のリポジトリ。
* '''上流ページ:''' https://github.com/Kwpolska/pkgbuilder
* '''Key-ID:''' 5EAAEA16

{{bc|<nowiki>
[pkgbuilder]
Server = https://pkgbuilder-repo.chriswarrick.com/
</nowiki>}}

=== PolarRepo ===

* '''Maintainer:''' [https://aur.archlinux.org/account/PolarianDev PolarianDev] ([[User:PolarianDev]])
* '''Maintainer Email:''' polarian@polarian.dev
*'''Description:''' Packages which are maintained by PolarianDev within the AUR
* '''Key-ID:''' D7E35661EB1A280A (old: {{ic|0770E5312238C760}}) ([https://git.polarian.dev/AUR/polarrepo/src/branch/master/pkg/keys/polarian.asc Direct Link] [https://keys.openpgp.org Keyserver])
* '''Website:''' https://git.polarian.dev/AUR/polarrepo
* '''Issues:''' https://git.polarian.dev/AUR/polarrepo/issues

{{bc|<nowiki>
[polarrepo]
Server = https://polarrepo.polarian.dev/
</nowiki>}}

=== post-factum kernels ===

* '''メンテナ:''': [https://aur.archlinux.org/account/post-factum Oleksandr Natalenko aka post-factum]
* '''上流ページ:''': https://gitlab.com/post-factum/pf-kernel/wikis/README
* '''説明:''': [[カーネル#主なパッチセット|pf-kernel]] packages by its developer, post-factum
* '''Key-ID:''': 95C357D2AF5DA89D
* '''キーファイル:''': https://download.opensuse.org/repositories/home:/post-factum:/kernels/Arch/x86_64/home_post-factum_kernels_Arch.key

{{bc|<nowiki>
[home_post-factum_kernels_Arch]
Server = https://download.opensuse.org/repositories/home:/post-factum:/kernels/Arch/x86_64
</nowiki>}}

=== QOwnNotes ===

* '''メンテナ:''' [https://aur.archlinux.org/account/pbek Patrizio Bekerle] (pbek), QOwnNotes author
* '''説明:''' QOwnNotes は markdown に対応し [[ownCloud]] と統合することができるオープンソースのメモ帳・ToDo リストマネージャです。
* '''Key-ID:''' FFC43FC94539B8B0
* '''キーファイル:''' https://download.opensuse.org/repositories/home:/pbek:/QOwnNotes/Arch_Extra/x86_64/home_pbek_QOwnNotes_Arch_Extra.key

{{bc|<nowiki>
[home_pbek_QOwnNotes_Arch_Extra]
Server = https://download.opensuse.org/repositories/home:/pbek:/QOwnNotes/Arch_Extra/$arch
</nowiki>}}

=== qt-debug ===

* '''メンテナ:''' [https://aur.archlinux.org/account/The-Compiler The Compiler]
* '''説明:''' デバッグシンボルが含まれた Qt/PyQt ビルド
* '''上流ページ:''' https://github.com/qutebrowser/qt-debug-pkgbuild
* '''Key-ID:''' D6A1C70FE80A0C82

{{bc|<nowiki>
[qt-debug]
Server = https://qutebrowser.org/qt-debug/$arch
</nowiki>}}

=== quarry ===

* '''メンテナ:''' [https://www.archlinux.org/people/developers/#anatolik anatolik]
* '''説明:''' Arch binary repository for [http://rubygems.org/ Rubygems] パッケージの Arch バイナリリポジトリ。詳しくは [https://bbs.archlinux.org/viewtopic.php?id=182729 フォーラムのアナウンス] を参照。
* '''Sources:''' https://github.com/anatol/quarry
* '''Key-ID:''' 不要、メンテナは開発者です。

{{bc|<nowiki>
[quarry]
Server = https://pkgbuild.com/~anatolik/quarry/x86_64/
</nowiki>}}

=== repo-ck ===

Brain Fuck Scheduler が付属するカーネルとモジュール、ck1 パッチセットにある全てのもの。

[[非公式ユーザーリポジトリ/Repo-ck|/Repo-ck]] を参照してください。

=== seblu ===

* '''メンテナ:''' [https://www.archlinux.org/people/developers/#seblu Sébastien Luttringer]
* '''説明:''' seblu の便利なビルド済みパッケージと自家製パッケージ(linux-seblu-meta, zfs-dkms, spotify, masterpdfeditor など)。
* '''Key-ID:''' 不要、メンテナは開発者です。

{{bc|<nowiki>
[seblu]
Server = https://al1.seblu.net/$repo/$arch
Server = https://al2.seblu.net/$repo/$arch
</nowiki>}}

=== seiichiro ===

* '''メンテナ:''' [https://www.seiichiro0185.org Stefan Brand (seiichiro0185)]
* '''説明:''' 個人的によく使っている AUR パッケージ
* '''Key-ID:''' 805517CC

{{bc|<nowiki>
[seiichiro]
Server = https://www.seiichiro0185.org/repo/$arch
</nowiki>}}

=== selinux ===

* '''メンテナ:''' [https://github.com/swordfeng swordfeng]
* '''説明:''' Unofficial (personal) builds for [[SELinux]] packages. PKGBUILDs are taken from AUR instead of the upstream GitHub repo.
* '''上流ページ:''' https://github.com/archlinuxhardened/selinux
* '''Key-ID:''' 7691FA63FE91CAFDD42A4AF08323B00E97DF0E6D (subkey B988167F59A3AF8368D55D65A7862FD48B72D83B is specifically used for signing packages)
* '''キーファイル:''' https://repo.taiho.moe/key.asc

{{bc|<nowiki>
[selinux]
Server = https://repo.taiho.moe/$repo
</nowiki>}}

=== sergej-repo ===

* '''メンテナ:''' [https://www.archlinux.org/people/trusted-users/#spupykin Sergej Pupykin]
* '''説明:''' psi-plus, owncloud-git, ziproxy, android, MySQL など。armv7h で利用できるパッケージもあります。
* '''Key-ID:''' 不要、メンテナは TU です。

{{bc|<nowiki>
[sergej-repo]
Server = http://repo.p5n.pp.ru/$repo/os/$arch
</nowiki>}}

=== siosm-aur ===

* '''メンテナ:''' [https://tim.siosm.fr/about/ Timothee Ravier]
* '''説明:''' Arch User Repository にあるパッケージ、マイナーフィックスあり。
* '''上流ページ:''' https://tim.siosm.fr/repositories/
* '''Key-ID:''' 78688F83

{{bc|<nowiki>
[siosm-aur]
Server = http://siosm.fr/repo/$repo/
</nowiki>}}

=== slowbro ===

* '''メンテナ:''' Katelyn Schiesser (slowbro)
* '''説明:''' binary packages for {{AUR|linux-vfio}}
* '''Key-ID:''' [http://pool.sks-keyservers.net/pks/lookup?op=get&search=0xAB3139C285186206 85186206]

{{bc|<nowiki>
[slowbro]
Server = http://www.slowbro.org/arch/$arch/
</nowiki>}}

=== sublime-text ===

* '''メンテナ:''' Sublime Text developer
* '''説明:''' Sublime Text editor packages from developer's repository
* '''上流ページ:''' https://www.sublimetext.com/docs/3/linux_repositories.html#pacman
* '''Key-ID:''' 8A8F901A

{{bc|<nowiki>
[sublime-text]
Server = https://download.sublimetext.com/arch/stable/x86_64
</nowiki>}}

=== subtitlecomposer ===

* '''メンテナ:''' Mladen Milinkovic (maxrd2)
* '''説明:''' Subtitle Composer の安定版とナイトリービルド。
* '''上流ページ:''' https://github.com/maxrd2/subtitlecomposer
* '''Key-ID:''' 4E8D5DBD

{{bc|<nowiki>
[subtitlecomposer]
Server = https://smoothware.net/$repo/$arch
</nowiki>}}

=== trinity ===

* '''メンテナ:''' Michael J. Manley <mmanley@ntge.net>
* '''説明:''' [[Trinity]] デスクトップ環境
* '''Key-ID:''' D6D6FAA25E9A3E4ECD9FBDBEC93AF1698685AD8B

{{bc|<nowiki>
[trinity]
Server = https://mirror.ppa.trinitydesktop.org/trinity/archlinux/$arch
</nowiki>}}

=== valveaur ===

* '''メンテナ:''' John Schoenick <johns@valvesoftware.com> (https://valvesoftware.com)
* '''説明:''' A repository by Valve Software Providing The Linux-fsync kernel and modules, including the futex-wait-multiple patchset for testing with Proton fsync & Mesa with the ACO compiler patchset.
* '''上流ページ:''' https://steamcommunity.com/linux
* '''Key-ID:''' 8DC2CE3A3D245E64

{{bc|<nowiki>
[valveaur]
Server = http://repo.steampowered.com/arch/valveaur
</nowiki>}}

=== xuanrui ===

* '''メンテナ:''' [https://aur.archlinux.org/account/xuanruiqi Xuanrui Qi (xuanruiqi)]
* '''説明:''' xuanruiqi's own packages and frequently-used packages, mainly of interest to functional programmers.
* '''上流ページ:''' https://www.xuanruiqi.com/linux.html
* '''Key-ID:''' 6E06FBC8

{{bc|<nowiki>
[xuanrui]
Server = https://arch.xuanruiqi.com/repo
</nowiki>}}

=== xyne-x86_64 ===

* '''メンテナ:''' [https://www.archlinux.org/people/trusted-users/#xyne Xyne]
* '''説明:''' Xyne 自身のプロジェクトのリポジトリ。
* '''上流ページ:''' http://xyne.archlinux.ca/projects/
* '''Key-ID:''' 不要、メンテナは TU です。

{{bc|<nowiki>
[xyne-x86_64]
# Server = https://xyne.archlinux.ca/repos/xyne # It returns error 404 or 406 (varying). Use the line below:
Server = http://xyne.archlinux.ca/bin/repo.php?file=
</nowiki>}}

== 署名なし ==

{{Note|ユーザーはエントリに次の字句を追加する必要があります: {{ic|1=SigLevel = PackageOptional}}}}

{{Warning|署名されていないリポジトリに HTTP を使用してはいけません。HTTPS を使用しない場合、ダウンロードしたコンテンツが Web サーバーによって提供されていたコンテンツであることを検証できず、[[Wikipedia:Man-in-the-middle attack|MiTM (Man in The Middle) attack]] によって任意のソフトウェアがシステムにインストールされる可能性があります。HTTPS はこのような脆弱性を緩和します。}}

=== alucryd ===

* '''メンテナ:''' [https://www.archlinux.org/people/trusted-users/#alucryd Maxime Gauduin]
* '''説明:''' Maxime Gauduin が AUR で管理しているさまざまなパッケージ。

{{bc|<nowiki>
[alucryd]
Server = https://pkgbuild.com/~alucryd/$repo/x86_64
</nowiki>}}

=== arch-mact2 ===

* '''メンテナ:''' [https://noa.codes Noa Himesaka]
* '''説明:''' T2 セキュリティチップを搭載した Mac で使用するためのカーネルとユーティリティ。
* '''上流ページ:''' https://mirror.funami.tech/arch-mact2

{{bc|<nowiki>
[arch-mact2]
Server = https://mirror.funami.tech/arch-mact2/os/$arch
</nowiki>}}

=== archlinuxgr ===

* '''メンテナ:'''
* '''説明:''' ギリシャの Arch Linux コミュニティが提供する多くの興味深いパッケージ。

{{bc|<nowiki>
[archlinuxgr]
Server = http://archlinuxgr.tiven.org/archlinux/$arch
</nowiki>}}

=== archlinux-phalcon ===

* '''メンテナ::''' Michal Sotolar <michal at sotolar dot com>
* '''説明:''' Phalcon Framework PHP 5.6 -7.x 拡張モジュールのビルド。
* '''上流ページ:''' https://archlinux-phalcon.gitlab.io

{{bc|<nowiki>
[archlinux-phalcon]
Server = https://archlinux-phalcon.gitlab.io/repository
</nowiki>}}

=== archlinux-php ===

* '''メンテナ:''' Michal Sotolar <michal at sotolar dot com>
* '''説明:''' PHP 5.6 -7.x 古い安定版ビルド、メインライン版と共存可能です。
* '''上流ページ:''' https://archlinux-php.gitlab.io

{{bc|<nowiki>
[archlinux-php]
Server = https://archlinux-php.gitlab.io/repository
</nowiki>}}

=== dx37essentials ===

* '''メンテナ:''' [https://aur.archlinux.org/account/DragonX256 DragonX256]
* '''説明:''' 個人リポジトリ。毎日使っている AUR のパッケージが入っています。
* '''Git repo:''' https://gitlab.com/DX37/dx37essentials
* '''上流ページ:''' https://dx37.gitlab.io/dx37essentials

{{bc|<nowiki>
[dx37essentials]
Server = https://dx37.gitlab.io/$repo/$arch
</nowiki>}}

=== ffy00 (python) ===

* '''メンテナ:''' [https://archlinux.org/people/trusted-users/#FFY00 Filipe Laíns]
* '''説明:''' 複数の異なる Python バージョンを提供します (例.3.5、3.6、3.7) アクティブな Python リリースはすべて、ここで入手できます。
* '''Git リポ:''' https://github.com/FFY00/arch-python-repo
* '''上流ページ:''' https://github.com/FFY00/arch-python-repo

{{bc|<nowiki>
[python]
Server = https://ffy00.github.io/arch-python-repo/
</nowiki>}}

=== heftig ===

* '''メンテナ:''' [https://www.archlinux.org/people/developers/#heftig Jan Steffens]
* '''説明:''' pulseaudio-git, pavucontrol-git, and firefox-developer-edition が入っています。
* '''上流ページ:''' https://bbs.archlinux.org/viewtopic.php?id=117157

{{bc|<nowiki>
[heftig]
Server = https://pkgbuild.com/~heftig/repo/$arch
</nowiki>}}

=== kicad-nightly ===

* '''メンテナ:''' Rafael Silva <perigoso@riseup.net>
* '''説明:''' KiCad のビルド済み nightly パッケージ
* '''Git リポジトリ:''' https://gitlab.com/kicad/packaging/kicad-arch/kicad-arch-builder
* '''上流ページ:''' https://www.kicad.org/help/nightlies-and-rcs/

{{bc|<nowiki>
[kicad-nightly]
Server = https://kicad.gitlab.io/packaging/kicad-arch/kicad-arch-builder/
</nowiki>}}

=== mesa-git ===

* '''メンテナ:''' [https://www.archlinux.org/people/trusted-users/#lcarlier Laurent Carlier]
* '''説明:''' ''testing'' と ''multilib-testing'' リポジトリ用の Mesa の git ビルド

{{bc|<nowiki>
[mesa-git]
Server = https://pkgbuild.com/~lcarlier/$repo/$arch
</nowiki>}}

=== principia ===

* '''メンテナ:''' ROllerozxa <rollerozxa@voxelmanip.se>
* '''説明:''' {{AUR|principia}} および {{AUR|principia-git}} パッケージのバイナリビルド。
* '''上流ページ:''' https://arch.principia-web.se

{{bc|<nowiki>
[principia]
Server = https://arch.principia-web.se/$arch
</nowiki>}}

=== rayr ===

* '''メンテナ:''' [https://rayrsn.me/LinkInBio Rayr]
* '''説明:''' 私の AUR パッケージのビルド済みパッケージを Arch リポジトリとして提供します。
* '''上流ページ:''' https://github.com/Rayrsn/ArchRepo

{{bc|<nowiki>
[rayr]
Server = https://rayrsn.github.io/ArchRepo/$arch
</nowiki>}}

=== selinux ===

* '''メンテナ:''' Nicolas Iooss (nicolas <dot> iooss <at> m4x <dot> org)
* '''説明:''' [[SELinux]] 用のバイナリパッケージを提供します。
* '''上流ページ:''' https://github.com/archlinuxhardened/selinux

{{bc|<nowiki>
[selinux]
Server = https://github.com/archlinuxhardened/selinux/releases/download/ArchLinux-SELinux
SigLevel = Never
</nowiki>}}

=== stx4 ===

* '''メンテナ:''' StarterX4 <starterx4[at]gmail.com>
* '''説明:''' 任意 - 一部のフォントと fakepkgs;x86_64 – アーカイブされているが役に立つ可能性のあるパッケージ (PacmanXG4 など) や一部の AUR ソフト (OpenBoard など)
* '''上流ページ:''' https://keybase.pub/starterx4/repos/arch/

{{bc|<nowiki>
[stx4-any]
Server = https://starterx4.keybase.pub/repos/arch/any/stx4

[stx4-x86_64]
Server = https://starterx4.keybase.pub/repos/arch/x86_64/stx4
</nowiki>}}

=== vdr4arch ===

* '''メンテナ:''' [https://aur.archlinux.org/account/CReimer CReimer]、[https://aur.archlinux.org/account/M-Reimer M-Reimer]
* '''説明:''' Arch Linux 用の VDR パッケージ群
* '''上流ページ:''' https://github.com/VDR4Arch/vdr4arch

{{Note|パッケージは [https://github.com/VDR4Arch/vdr4arch/blob/master/.ci/repo-make-ci.sh repo-make-ci.sh] で自動的にビルドされます。}}

{{bc|<nowiki>
[vdr4arch]
Server = https://vdr4arch.github.io/$arch
</nowiki>}}

2026-05-28T10:04:52Z

Kusanaginoturugi: 記事を更新

[[Category:仮想プライベートネットワーク]]
[[en:Tailscale]]
{{Related articles start}}
{{Related|WireGuard}}
{{Related articles end}}
Tailscale は [[WireGuard]] の上に構築され、ピアがメッシュネットワークを構築するための OAuth2 (SSO)、OpenID、および SAML 認証を提供します。クロスプラットフォームであり、ACL 設定と内部 DNS があります。

== インストール ==

{{Pkg|tailscale}} を[[インストール]]し、システムを再起動してください。

tailscale を [[Docker]] コンテナとして実行することもできます。この方法では、1 台のマシン上で複数の exit node を実行でき、それぞれを独自の tailnet に所属させることができます。

=== システムトレイアプリケーション ===

{{Note|この機能は現在 beta です。}}

v1.88 で導入され、tailscale には systray アプリケーションが同梱されています。systray を起動するには、以下を実行してください:

$ tailscale systray

起動時に systray を実行するには、systemd ユーザーサービスとして以下を実行するか:

$ tailscale configure systray --enable-startup=systemd

または freedesktop autostart ファイルを使用します:

$ tailscale configure systray --enable-startup=freedesktop

詳細は [https://tailscale.com/docs/features/client/linux-systray tailscale の公式ドキュメント] を参照してください。

=== サードパーティクライアント ===

* {{App|KTailctl|Tailscale を監視および管理する GUI。|https://github.com/f-koehler/KTailctl|{{AUR|ktailctl}}}}
* {{App|trayscale|Tailscale CLI クライアント用の非公式 GUI ラッパー。|https://github.com/DeedleFake/trayscale|{{AUR|trayscale}}}}
* {{App|tailscaledesktop|非公式の Tailscale デスクトップアプリケーション。|https://gitlab.com/tailscaledesktop/application|{{AUR|tailscaledesktop}}}}
* {{App|tailscale-systray-git|tailscale system tray menu の Linux 移植版。|https://github.com/mattn/tailscale-systray|{{AUR|tailscale-systray-git}}}}

== 使用方法 ==

''tailscale'' を使用するには、{{ic|tailscaled.service}} を[[有効化/起動]]し、以下のようにサーバーを実行します:

# tailscale up

[https://tailscale.com/kb/1085/auth-keys/ auth key] を指定して、headless マシンを認証できます:

# tailscale up --authkey=tskey-''KEY''

{{ Note | デフォルトでは、tailscale は [https://tailscale.com/kb/1011/log-mesh-traffic#centralized-log-management ログをサーバーに送信し、中央ストレージに保存します]。以下のいずれかの手順で opt out できます:
* {{ic|/etc/default/tailscaled}} を編集して {{ic|TS_NO_LOGS_NO_SUPPORT{{=}}true}} を含める
* {{ic|/etc/default/tailscaled}} を編集し、{{ic|FLAGS}} に {{ic|--no-logs-no-support}} を追加する

中央ログを opt out すると、Tailscale から技術サポートを受けられない場合があります。}}

== 高度な使用方法 ==

=== カスタム Control Server を使用する ===

[https://github.com/juanfont/headscale headscale] のようなカスタム control server を使用できます。

ログインするには、以下を実行します:

# tailscale up --login-server https://example.com

headless システムでは、token を使用した非対話ログインが可能です。

# tailscale up --login-server https://example.com --authkey ''your_auth_key''

{{ic|headscale.service}} を[[起動]]した後、以下のコマンドで user と auth-key を作成できます:

# headscale users create USER -e email@example.com
# headscale users list
# headscale preauthkeys create -u <ID> --reusable

==== ユーザー間で node を共有する ====
policy を含むファイルを作成します:
{
"tagOwners": {
"tag:shared": ["user1@"]
},
"groups": {
"group:all": ["user1@", "user2@", "user3@"]
},
"acls": [
{
"action": "accept",
"src": ["group:all"],
"dst": ["tag:shared:*"]
}
]
}

config.yaml でこのファイルを指定します:
policy:
mode: file
path: "/etc/headscale/policy.json"

tag を advertise します:
tailscale up --advertise-tags=tag:shared --login-server=https://headscale.localdomain/

==== nextcloud または別の OIDC provider との統合 ====

{{AUR|nextcloud-app-oidc}} をインストールして client key を作成し、redirection uri として https://headscale.localdomain/oidc/callback を使用します。

以下の snippet を config.yaml に追加します:
oidc:
issuer: "https://cloud.example.com"
client_id: "<client-id>"
client_secret: "<client-secret>"
scope: ["openid", "profile", "email"]
user_map:
name: "preferred_username"
email: "email"

=== Docker コンテナとして実行する ===

tailscale を Docker コンテナとして実行する一般的な方法については、[https://hub.docker.com/r/tailscale/tailscale このガイド] に従ってください。

==== exit node として ====

Docker コンテナとして実行している tailscale インスタンスを exit node として使用できるようにするには、コンテナのネットワークで小さい MTU を使用する必要があります。これは [https://github.com/tailscale/tailscale/issues/3877 MTU 関連の問題] が原因です。

まだ作成していない場合は、カスタムネットワークを作成します:

# docker network create --opt com.docket.network.driver.mtu=1280 ''my_custom_network''

次に、そのネットワークをコンテナインスタンスで使用します:

# docker run --detach --name=''my_tailscale_container'' --network=''my_custom_network'' --volume /var/lib/tailscale-exitnode-1:/var/lib/tailscale --env TS_STATE_DIR=/var/lib/tailscale --env TS_USERSPACE=1 --env TS_AUTHKEY=''tskey-auth-XXX'' --env TS_EXTRA_ARGS='--advertise-exit-node' tailscale/tailscale

注意点:
* デフォルトでは、docker は {{ic|bridge}} 型のネットワークを作成するため、ここで指定する必要はありません。
* node の認証には auth key を使用してください。通常の SSO 方式で認証すると時間がかかりすぎ、初回認証が成功する前に process が timeout する場合があります。
* {{ic|TS_USERSPACE{{=}}1}} を定義すると、コンテナに昇格権限 ({{ic|CAP_NET_ADMIN}} および {{ic|CAP_NET_RAW}}) が不要になります。
* ホスト上の未使用ディレクトリ ({{ic|/var/lib/tailscale-exitnode-1}}) をコンテナ内の {{ic|/var/lib/tailscale}} に bind mount し、さらに {{ic|TS_STATE_DIR{{=}}/var/lib/tailscale}} を定義してください。これにより、tailscale は永続的な state file を使用します。これらがない場合、exit node は状態を保持するために volatile memory を使用するため、コンテナを再起動するたびに新しい ID と tailnet IP アドレスを取得します [https://github.com/tailscale/tailscale/issues/7119]。

== ヒントとテクニック ==

=== NetworkManager と併用する ===

[[NetworkManager]] を使用している場合、tailnet 内の他のデバイスとの接続に問題が発生する場合があります。これは NetworkManager と tailscaled の間で発生する管理競合が原因です。

これを解消するには、NetworkManager が tailscale ネットワークデバイス (例: {{ic|tailscale0}}) を管理しないようにする必要があります。

そのためには、{{ic|/etc/NetworkManager/conf.d/99-tailscale.conf}} のような config を作成し、以下の内容を記述します:

[keyfile]
unmanaged-devices=interface-name:tailscale0

その後、{{ic|NetworkManager.service}} と {{ic|tailscaled.service}} を[[再起動]]してください。

tailscale を一度切り替える必要がある場合もあります:

# tailscale down
# tailscale up

これで、tailnet 上の他のデバイスに {{ic|ping}} できるようになるはずです。

=== Magic DNS ===

Tailscale は、tailnet 設定から DNS server と search suffixes を設定するために、正常に動作する [[systemd-resolved]] を備えたシステムを想定しています。そうでない場合、{{ic|/etc/resolv.conf}} を[https://tailscale.com/blog/sisyphean-dns-client-linux 上書きしようとします]。

=== セキュリティ強化 ===

Tailscale は専用のユーザーで、動作に必要な capabilities のみを持って実行するようにできます。詳細は [https://tailscale.com/kb/1279/security-node-hardening#suggested-hardening-configuration-based-on-systemd 公式 knowledge base article] を参照してください。

== トラブルシューティング ==

=== 起動時に Tailscale がクラッシュする ===

{{ic|tailscaled.service}} を起動した後、クラッシュして restart loop に陥る場合があります。これは ''tun'' kernel module が存在しないことが原因である可能性があります。実際にこれが原因か確認するには、''systemd'' 経由で {{ic|tailscaled.service}} のログを確認します:

# systemctl status tailscaled.service

または、terminal で root として binary を実行します:

# /usr/sbin/tailscaled

以下のような、または類似したエラーが ''systemctl status'' または binary の実行時に表示される場合があります:

...is CONFIG_TUN enabled in your kernel? modprobe tun failed with: modprobe: FATAL: Module tun not found in directory /lib/modules/5.17.4-arch1-1 kernel/drivers/net/tun.ko found on disk, but not for current kernel; are you in middle of a system update and haven't rebooted? found: /lib/modules/5.17.8-arch1-1/kernel/drivers/net/tun.ko.zst wgengine.NewUserspaceEngine(tun "tailscale0") error: tstun.New("tailscale0"): no such device

その場合は、単にシステムを再起動し、{{ic|tailscaled.service}} が ''systemctl status'' で loaded ではなく active になっているか確認してください。

== 参照 ==

* https://tailscale.com/
* https://github.com/juanfont/headscale

Tailscale

2026-05-28T09:51:53Z

Kusanaginoturugi: /* インストール */ 記事を更新

WireGuard

2026-05-28T04:13:27Z

Kusanaginoturugi: /* グラフィカルクライアント */ add aur pkg.

[[Category:仮想プライベートネットワーク]]
[[en:WireGuard]]
[[zh-hans:WireGuard]]
{{Related articles start}}
{{Related|Linux Containers で OpenVPN クライアント}}
{{Related|Rosenpass}}
{{Related articles end}}
[https://www.wireguard.com/ WireGuard] のホームページより:
:Wireguard は最先端の暗号技術を使用する非常にシンプルで高速な VPN です。IPSec よりも高速・単純・軽量・有用であることを目指しており、面倒なことを避けています。OpenVPN と比べると高いパフォーマンスを発揮します。WireGuard は組み込みインターフェイスからスーパーコンピュータまで様々な環境に対応する汎用の VPN として設計されています。最初は Linux カーネル用にリリースされましたが、現在はクロスプラットフォーム（Windows、macOS、BSD、iOS、Android）であり、広く展開できます。

この記事で使用されている主な概念の大まかな紹介は、[https://www.wireguard.com/ WireGuard] のプロジェクトホームページにあります。 WireGuard は、2019年後半から Linux カーネルに組み込まれています。

== インストール ==

ユーザースペースユーティリティの {{pkg|wireguard-tools}} パッケージを[[インストール]]してください。

または、ピアキーが使用可能な場合、さまざまなネットワークマネージャーが WireGuard のサポートを提供します。詳細については、[[#設定の永続化]] を参照してください。

=== グラフィカルクライアント ===

* {{App|wireguird|Linux向けのWireGuard用GTK GUIクライアント。|https://github.com/UnnoTed/wireguird|{{AUR|wireguird}}}}
* {{App|wireguard-gui| A wireguard client GUI for Linux made with nextauri.|https://github.com/0xle0ne/wireguard-gui|{{AUR|wireguard-gui-bin}}}}

=== コマンドラインツール ===

* {{App|wg_tool|サーバーとユーザーの wireguard 設定を管理するツール。|https://github.com/gene-git/wg_tool|{{AUR|wg_tool}}}}
* {{App|wg-client|コマンドラインとGUIの両方を備えたLinuxクライアント。|https://github.com/gene-git/wg-client|{{AUR|wg-client}}}}
* {{App|wg2nd|{{man|8|wg-quick}}形式のWireGuard設定を[[systemd-networkd]]互換の設定に変換するツール。|https://git.flu0r1ne.net/wg2nd/about|{{AUR|wg2nd}}}}

== 使用方法 ==

ここでは以下の構成でピア間のトンネルを設定する方法を説明します:

{| class="wikitable"
!
! Peer A
! Peer B
|----------------------------------------------------------
| 外部 IP アドレス
| 10.10.10.1/24
| 10.10.10.2/24
|----------------------------------------------------------
| 内部 IP アドレス
| 10.0.0.1/24
| 10.0.0.2/24
|----------------------------------------------------------
| wireguard 使用ポート
| UDP/48574
| UDP/39814
|}

外部アドレスはあらかじめ用意してください。例えば、ピア A からピア B に {{ic|ping 10.10.10.2}} で ping が通るようにする必要があります。内部アドレスは {{ic|ip}} コマンドで作成する新しいアドレスで、WireGuard ネットワーク内で内部的に共有します。IP アドレスの {{ic|/24}} は [[wikipedia:Classless_Inter-Domain_Routing#CIDR_notation|CIDR]] です。

==== 鍵の生成 ====

{{Note|秘密鍵ファイルを保存するときは {{ic|600}} などのように厳しいパーミッションを使うことを推奨します。}}

秘密鍵を作成するには:

$ wg genkey > privatekey

公開鍵を作成するには:

$ wg pubkey < privatekey > publickey

もしくは、秘密鍵と公開鍵を同時に作成するには:

$ wg genkey | tee privatekey | wg pubkey > publickey

量子コンピュータが実用化された場合を考慮して、既存の公開鍵暗号に対称鍵暗号のレイヤーを追加するために事前共有鍵を生成することもできます:

# wg genpsk > preshared

=== 手動設定 ===
==== Peer A の設定 ====

このピアでは UDP ポート 48574 を開いて内部・外部 IP アドレスと公開鍵を紐づけてピア B からの接続を許可します:

# ip link add dev wg0 type wireguard
# ip addr add 10.0.0.1/24 dev wg0
# wg set wg0 listen-port 48574 private-key ./privatekey
# wg set wg0 peer [Peer B public key] persistent-keepalive 25 allowed-ips 10.0.0.2/32 endpoint 10.10.10.2:39814
# ip link set wg0 up

{{ic|[Peer B public key]}} は {{ic|1=EsnHH9m6RthHSs+sd9uM6eCHe/mMVFaRh93GYadDDnM=}} という形式で指定してください。{{ic|allowed-ips}} はトラフィックの送信を許可するアドレスのリストを指定してください。{{ic|allowed-ips 0.0.0.0/0}} であらゆるアドレスにトラフィックを送信できるようになります。

==== Peer B の設定 ====

ピア A とほとんど同じですが、wireguard デーモンで使用するのは UDP ポート 39814 でピア A からの接続だけを許可します:

# ip link add dev wg0 type wireguard
# ip addr add 10.0.0.2/24 dev wg0
# wg set wg0 listen-port 39814 private-key ./privatekey
# wg set wg0 peer [Peer A public key] persistent-keepalive 25 allowed-ips 10.0.0.1/32 endpoint 10.10.10.1:48574
# ip link set wg0 up

=== 基本チェック ===
パラメータを付けずに wg コマンドを呼び出すことで現在の設定を確認できます。

例えば、ピア A で実行すると以下のように表示されます:

peer-a$ wg
interface: wg0
public key: UguPyBThx/+xMXeTbRYkKlP0Wh/QZT3vTLPOVaaXTD8=
private key: (hidden)
listening port: 48574

peer: 9jalV3EEBnVXahro0pRMQ+cHlmjE33Slo9tddzCVtCw=
endpoint: 10.10.10.2:39814
allowed ips: 10.0.0.2/32

トンネルの末端にアクセスすることができるはずです:
peer-a$ ping 10.0.0.2

=== 設定の永続化 ===

{{ic|showconf}} を使うことで設定を保存できます:
# wg showconf wg0 > /etc/wireguard/wg0.conf
# wg setconf wg0 /etc/wireguard/wg0.conf

==== ピア設定例 ====

{{hc|1=/etc/wireguard/wg0.conf|2=
[Interface]
Address = 10.0.0.1/32
PrivateKey = [CLIENT PRIVATE KEY]
MTU = 1420

[Peer]
PublicKey = [SERVER PUBLICKEY]
AllowedIPs = 10.0.0.0/24, 10.123.45.0/24, 1234:4567:89ab::/48
Endpoint = [SERVER ENDPOINT]:51820
PersistentKeepalive = 25
}}

==== systemd-networkd の設定例 ====

{{hc|1=/etc/systemd/network/30-wg0.netdev|2=
[NetDev]
Name = wg0
Kind = wireguard
Description = Wireguard

[WireGuard]
PrivateKey = [CLIENT PRIVATE KEY]

[WireGuardPeer]
PublicKey = [SERVER PUBLIC KEY]
PresharedKey = [PRE SHARED KEY]
AllowedIPs = 10.0.0.0/24
Endpoint = [SERVER ENDPOINT]:51820
PersistentKeepalive = 25
}}

{{hc|1=/etc/systemd/network/30-wg0.network|2=
[Match]
Name = wg0

[Network]
Address = 10.0.0.3/32
DNS = 10.0.0.1

[Route]
Gateway = 10.0.0.1
Destination = 10.0.0.0/24
}}

== 特定のユースケース: VPN サーバー ==

このセクションでは [[OpenVPN]] などと同じように暗号化されたトンネルを使ってサーバー・ネットワークリソースにアクセスできるようにするため、WireGuard の「サーバー」と汎用的な「クライアント」を設定します。サーバーは Linux で稼働させますがクライアントのプラットフォームは複数選択できます (WireGuard プロジェクトは Linux ネイティブや macOS のソフトウェアに加えて iOS や Android プラットフォームのアプリも提供しています)。詳しくは公式プロジェクトの [https://www.wireguard.com/install/ インストールリンク] を見てください。

=== サーバー ===
サーバー側のマシンではまず IPv4 フォワーディングを有効にしてください:

# sysctl net.ipv4.ip_forward=1

変更を永続化するには {{ic|/etc/sysctl.d/99-sysctl.conf}} に {{ic|1=net.ipv4.ip_forward = 1}} を追加します。

インターネットに接続する場合は[[ファイアウォール]]を設定することが推奨されます:
* WireGuard が動作するポートの UDP トラフィックを許可してください (例えば 51820/udp のトラフィックを許可)。
* WireGurad の設定 {{ic|/etc/wireguard/wg0.conf}} に転送ポリシーを記述しない場合はファイアウォールで転送ポリシーを設定してください。以下の例はそのまま動作します。

最後に、WAN からアクセスできるようにするため WireGuard のポートをルーターからサーバーの LAN の IP に転送するようにする必要があります。

=== 鍵の生成 ===
サーバーとクライアントの鍵を[[#鍵の生成]]で説明しているように生成してください。

=== サーバーの設定 ===
サーバーの設定ファイルを作成:

{{Note|''PresharedKey'' 行は任意です。使用する場合、事前共有鍵をサーバーとクライアントの設定ファイルで設定する必要があります。詳しくは wg の [[man ページ]]を参照してください。}}

{{hc|1=/etc/wireguard/wg0.conf|2=
[Interface]
Address = 10.200.200.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = [SERVER PRIVATE KEY]
MTU = 1420

# note - substitute ''eth0'' in the following lines to match the Internet-facing interface
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
# client foo
PublicKey = [FOO's PUBLIC KEY]
PresharedKey = [PRE-SHARED KEY]
AllowedIPs = 10.200.200.2/32

[Peer]
# client bar
PublicKey = [BAR's PUBLIC KEY]
PresharedKey = [PRE-SHARED KEY]
AllowedIPs = 10.200.200.3/32
}}

{{Note|必要に応じて同じような形式でピアを追加してください。}}

インターフェイスは手動あるいは [[systemctl]] で制御できます。

{{ic|wg-quick up wg0}} でインターフェイスが立ち上がり {{ic|wg-quick down wg0}} で終了します。

systemctl で制御したい場合、{{ic|wg-quick@.service}} を[[起動]]・[[有効化]]してください。"@" 記号の後ろにサーバーの設定の名前を入力してください。例:
# systemctl start wg-quick@wg0

=== クライアントの設定 ===

クライアントの設定ファイルを作成:

{{hc|1=foo.conf|2=
[Interface]
Address = 10.200.200.2/24
PrivateKey = [FOO's PRIVATE KEY]
DNS = 10.200.200.1
MTU = 1420

[Peer]
PublicKey = [SERVER PUBLICKEY]
PresharedKey = [PRE-SHARED KEY]
AllowedIPs = 0.0.0.0/0
Endpoint = my.ddns.address.com:51820
}}

{{hc|1=bar.conf|2=
[Interface]
Address = 10.200.200.3/24
PrivateKey = [BAR's PRIVATE KEY]
DNS = 10.200.200.1
MTU = 1420

[Peer]
PublicKey = [SERVER PUBLICKEY]
PresharedKey = [PRE-SHARED KEY]
AllowedIPs = 0.0.0.0/0
Endpoint = my.ddns.address.com:51820
}}

{{Warning|1=設定ファイルを作るときは、公開・秘密鍵と ''Address ='' の値を適当に置き換えてください。}}

クライアントがスマートフォンなどの場合、{{Pkg|qrencode}} を使って設定を共有することができます:
$ qrencode -t ansiutf8 < foo.conf

{{Note|[[NetworkManager]] を使用している場合、{{ic|NetworkManager-wait-online.service}} を、[[systemd-networkd]] を使用している場合、{{ic|systemd-networkd-wait-online.service}} を有効化することでネットワーク接続が有効になってからサービスが実行されるようになります。}}

== トンネルのテスト ==

トンネルが確立されたら、[[netcat]]を使ってトラフィックを送り、スループットや CPU 使用率などをテストすることができます。
トンネルの片側で {{ic|nc}} を listen モードで実行し、もう片側で {{ic|/dev/zero}} から送信モードの {{ic|nc}} にデータをパイプします。

以下の例では、ポート 2222 がトラフィックに使用されています（ファイアウォールを使用している場合は、ポート2222のトラフィックを必ず許可してください）。

トンネルの片側で、トラフィックを確認する。

$ nc -vvlnp 2222

トンネルの向こう側では、トラフィックを送ってください。

$ dd if=/dev/zero bs=1024K count=1024 | nc -v 10.0.0.203 2222

状態の監視は {{ic|wg}} で直接行うことができます。

{{hc|# wg|2=
interface: wg0
public key: UguPyBThx/+xMXeTbRYkKlP0Wh/QZT3vTLPOVaaXTD8=
private key: (hidden)
listening port: 51820

peer: 9jalV3EEBnVXahro0pRMQ+cHlmjE33Slo9tddzCVtCw=
preshared key: (hidden)
endpoint: 192.168.1.216:53207
allowed ips: 10.0.0.0/0
latest handshake: 1 minutes, 17 seconds ago
transfer: 56.43 GiB received, 1.06 TiB sent
}}

== ヒントとテクニック ==

=== 秘密鍵を暗号化して保存 ===

設定ファイルの [Interface] セクションの PrivateKey 行を以下のように置き換えることで [[pass]] を使って秘密鍵を暗号化できます:

PostUp = wg set %i private-key <(su user -c "export PASSWORD_STORE_DIR=/path/to/your/store/; pass WireGuard/private-keys/%i")

user はユーザー名に置き換えてください。詳しくは {{man|8|wg-quick}} を参照。

=== IP が変わるエンドポイント ===

サーバーのドメインの解決後、WireGuard は DNS で再度変更をチェックすることはありません [https://lists.zx2c4.com/pipermail/wireguard/2017-November/002028.html]。

WireGuard サーバーの IP アドレスが DHCP, Dyndns, IPv6 などによって頻繁に変更された場合、WireGuard クライアントは接続を失います。その際 {{ic|wg set "$INTERFACE" peer "$PUBLIC_KEY" endpoint "$ENDPOINT"}} などのようにエンドポイントを更新しなくてはなりません。

また、エンドポイントがアドレスを変更したとき (例えば新しいプロバイダ・データセンターに移行した場合)、DNS を更新するだけでは不十分となるため、DNS ベースのセットアップでは reresolve-dns を定期的に実行する必要が出てきます。

{{Pkg|wireguard-tools}} には WG の設定ファイルを読み込んでエンドポイントのアドレスを自動的にリセットするスクリプト {{ic|/usr/share/wireguard/examples/reresolve-dns/reresolve-dns.sh}} が含まれています。

{{ic|/usr/share/wireguard/examples/reresolve-dns/reresolve-dns.sh /etc/wireguard/wg.conf}} を定期的に実行することで IP が変わったエンドポイントから復旧できます。

systemd タイマーを使って30秒ごとに WireGuard のエンドポイントを更新する例 [https://git.zx2c4.com/WireGuard/tree/contrib/examples/reresolve-dns/README]:

{{hc|/etc/systemd/system/wireguard_reresolve-dns.timer|2=
[Unit]
Description=Periodically reresolve DNS of all WireGuard endpoints

[Timer]
OnCalendar=*:*:0/30

[Install]
WantedBy=timers.target
}}

{{hc|/etc/systemd/system/wireguard_reresolve-dns.service|2=
[Unit]
Description=Reresolve DNS of all WireGuard endpoints
Wants=network-online.target
After=network-online.target

[Service]
Type=oneshot
ExecStart=/bin/sh -c 'for i in /etc/wireguard/*.conf; do /usr/share/wireguard/examples/reresolve-dns/reresolve-dns.sh "\$i"; done'
}}

上記ファイルを作成したら {{ic|wireguard_reresolve-dns.timer}} を[[起動]]・[[有効化]]してください。

=== QR コードを生成 ===

クライアントが電話などのモバイルデバイスの場合、{{Pkg|qrencode}} を使用してクライアントの設定 QR コードを生成し、端末に表示できます。

$ qrencode -t ansiutf8 -r ''client.conf''

=== デバッグログを有効にする ===

ダイナミックデバッグをサポートするカーネル上で Linux カーネルモジュールを使用する場合、実行することでデバッグ情報をカーネルリングバッファ（[[dmesg]] や [[journalctl]] で表示可能）に書き込むことができます。

# modprobe wireguard
# echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control

=== ピア(サーバー)設定の再読み込み ===

WireGuard ピア（主にサーバ）が設定から他のピアを追加または削除し、アクティブなセッションを停止せずに再読み込みしたい場合、次のコマンドを実行することができます:

# wg syncconf ${WGNET} <(wg-quick strip ${WGNET})

ここで、{{ic|$WGNET}} は WireGuard インターフェース名または設定ベース名です。例えば、{{ic|wg0}}(サーバー用) または {{ic|client}} です。(クライアント用には ''.conf'' という拡張子をつけません)。

== トラブルシューティング ==

=== ルートが定期的にリセットされる ===

[[NetworkManager]] が WireGuard のインターフェイスを管理しないようにしてください:

{{hc|1=/etc/NetworkManager/conf.d/unmanaged.conf|2=
[keyfile]
unmanaged-devices=interface-name:wg0
}}

=== DNS 解析の不具合について ===

すべてのトラフィックを WireGuard インターフェイスでトンネリングする場合、しばらくすると、または新規接続時に接続が失われたように見えることがあります。これは、[[ネットワークマネージャ]]または [[DHCP]] クライアントが {{ic|/etc/resolv.conf}} を上書きすることによって発生した可能性があります。

デフォルトでは ''wg-quick'' は新しい [[DNS]] エントリを登録するために ''resolvconf'' を使用します (設定ファイルの {{ic|DNS}} キーワードから).これは、''resolvconf'' を使用しない[[ネットワークマネージャ]]や [[DHCP]] クライアントで、{{ic|/etc/resolv.conf}} を上書きし、wg-quick が追加した DNS サーバを削除するため問題が発生するでしょう。

解決策としては、[[resolvconf]] をサポートするネットワークソフトを使用することです。

{{Note|[[systemd-resolved]] のユーザは、{{Pkg|systemd-resolvconf}} が[[インストール]]されていることを確認する必要があります。}}

[[NetworkManager]] のユーザは、デフォルトでは resolvconf を使用しないことを知っておく必要があります。[[systemd-resolved]] を使うことが推奨されています。これが望ましくない場合は {{Pkg|openresolv}} を[[インストール]]して、[[NetworkManager#Use openresolv]].
を使用するように NetworkManagerを設定してください。

=== 低 MTU ===

MTU が低すぎる (1280 未満) ため、wg-quick は WireGuard インターフェイスの作成に失敗した可能性があります。これは、クライアントのインターフェイスセクションの WireGuard 設定で MTU 値を設定することで解決できます。

{{hc|foo.config|2=
[Interface]
Address = 10.200.200.2/24
MTU = 1420
PrivateKey = ''PEER_FOO_PRIVATE_KEY''
DNS = 10.200.200.1
}}

=== 鍵の長さや形式が正しくない ===

以下のエラーを回避するためには、鍵ファイルのパスではなく、鍵の値を設定ファイルに記述してください。

{{hc|# wg-quick up wg0|
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
Key is not the correct length or format: `''/path/example.key'''
Configuration parsing error
[#] ip link delete dev wg0
}}

=== NAT /ファイアウォールの背後にある持続的な接続を確立することができない ===

デフォルトでは、WireGuard ピアは通信する必要がない間は沈黙を保つため、NAT や[[ファイアウォール]]の背後にあるピアは、他のピアに自らアクセスするまで他のピアからアクセスできない場合があります（または接続がタイムアウトする場合もあります）。NAT やファイアウォールの背後にあるピアの{{ic|1=PersistentKeepalive = 25}} 設定に追加することで、接続が開いたままになることを保証できます。

{{hc|# Set the persistent-keepalive via command line (temporarily)|
[#] wg set wg0 peer $PUBKEY persistent-keepalive 25
}}

=== ループルーティング ===

エンドポイント IP を許可 IP リストに追加すると、カーネルは、元のルートを使用するのではなく、当該デバイスバインディングにハンドシェイクを送信しようとします。その結果、ハンドシェイクの試行が失敗します。

回避策として、エンドポイントへの正しいルートを、以下の方法で手動で追加する必要があります。

ip route add <endpoint ip> via <gateway> dev <network interface>

e.g. for peer B from above in a standard LAN setup:

ip route add 203.0.113.102 via 192.168.0.1 dev eth0

このルートを永続化するには、{{ic|1=PostUp = ip route ...}} というコマンドを {{ic|wg0.conf}} の {{ic|[Interface]}} セクションに追加することができます。しかし、特定のセットアップ（例えば、NetworkManagerと組み合わせて {{ic|wg-quick@.service}} を使用）において、これはレジュームに失敗するかもしれません。さらに、これは静的なネットワーク設定に対してのみ機能し、ゲートウェイやデバイスが変更されると失敗します（例えば、ラップトップでイーサネットや無線 LAN を使用している場合など）。

NetworkManagerを使用する場合、より柔軟な解決策として、ディスパッチャスクリプトを使用して WireGuardを起動することができます。root として以下を作成します。

{{hc|/etc/NetworkManager/dispatcher.d/50-wg0.sh|2=
#!/bin/sh
case $2 in
up)
wg-quick up wg0
ip route add <endpoint ip> via $IP4_GATEWAY dev $DEVICE_IP_IFACE
;;
pre-down)
wg-quick down wg0
;;
esac
}}
まだ起動していない場合は、{{ic|NetworkManager-dispatcher.service}} を起動し、有効にしてください。
また、NetworkManager が {{ic|wg0}} のルートを管理していないことを確認してください。([[#ルートが定期的にリセットされる|上記参照]])。

=== NetworkManager で切断される ===

デスクトップの場合、全てのトラフィックを WireGuard のインターフェイス経由にすると切断が発生することがあります。アクセスポイントに新しく接続してしばらくした後に切断が発生します。

デフォルトでは ''wg-quick'' は [[openresolv]] などの resolvconf プロバイダを使用して新しい [[DNS]] エントリを登録します (設定ファイルの {{ic|DNS}} キーワード)。しかしながら [[NetworkManager]] はデフォルトでは resolvconf を使用しません。新しい [[DHCP]] リースが取得されるたびに [[NetworkManager]] は DHCP によって提供されたアドレスで全体の DNS アドレスを上書きします。

==== resolvconf を使う ====

システムで resolvconf を使っていて接続が切れる場合、NetworkManager が resolvconf を使うように設定してください:

{{hc|/etc/NetworkManager/conf.d/rc-manager.conf|2=
[main]
rc-manager=resolvconf
}}

==== dnsmasq を使う ====

[[Dnsmasq#openresolv]] を見てください。

==== systemd-resolved を使う ====

2018年9月時点では、{{Pkg|systemd-resolvconf}} による resolvconf 互換モードは ''wg-quick'' で機能しません。ただし {{ic|PostUp}} フックを使うことで ''wg-quick'' から [[systemd-resolved]] を使用することはできます。まず NetworkManager で ''systemd-resolved'' を使うように設定: [[NetworkManager#systemd-resolved]]。それからトンネルの設定を変更:

{{hc|1=/etc/wireguard/wg0.conf|2=
[Interface]
Address = 10.0.0.2/24 # The client IP from wg0server.conf with the same subnet mask
PrivateKey = [CLIENT PRIVATE KEY]
PostUp = resolvectl domain %i "~."; resolvectl dns %i 10.0.0.1; resolvectl dnssec %i yes
MTU = 1420

[Peer]
PublicKey = [SERVER PUBLICKEY]
AllowedIPs = 0.0.0.0/0, ::0/0
Endpoint = [SERVER ENDPOINT]:51820
PersistentKeepalive = 25
}}

新しく利用可能になった DNS サーバーに優先度を与えるためにドメイン名は {{ic|"~."}} に設定する必要があります。

{{ic|wg0}} が落ちたときに ''systemd-resolved'' は自動的に全てのパラメータを戻すため {{ic|PostDown}} キーは必要ありません。

== 参照 ==

* [[Wikipedia:WireGuard]]
* [https://www.wireguard.com/presentations/ Presentations by Jason Donenfeld].
* [https://lists.zx2c4.com/mailman/listinfo/wireguard Mailing list]
* [https://docs.sweeting.me/s/wireguard Unofficial WireGuard Documentation]
* [[Debian:Wireguard]]

WireGuard

2026-05-28T04:12:38Z

Kusanaginoturugi: 関連記事を追加

[[Category:仮想プライベートネットワーク]]
[[en:WireGuard]]
[[zh-hans:WireGuard]]
{{Related articles start}}
{{Related|Linux Containers で OpenVPN クライアント}}
{{Related|Rosenpass}}
{{Related articles end}}
[https://www.wireguard.com/ WireGuard] のホームページより:
:Wireguard は最先端の暗号技術を使用する非常にシンプルで高速な VPN です。IPSec よりも高速・単純・軽量・有用であることを目指しており、面倒なことを避けています。OpenVPN と比べると高いパフォーマンスを発揮します。WireGuard は組み込みインターフェイスからスーパーコンピュータまで様々な環境に対応する汎用の VPN として設計されています。最初は Linux カーネル用にリリースされましたが、現在はクロスプラットフォーム（Windows、macOS、BSD、iOS、Android）であり、広く展開できます。

この記事で使用されている主な概念の大まかな紹介は、[https://www.wireguard.com/ WireGuard] のプロジェクトホームページにあります。 WireGuard は、2019年後半から Linux カーネルに組み込まれています。

== インストール ==

ユーザースペースユーティリティの {{pkg|wireguard-tools}} パッケージを[[インストール]]してください。

または、ピアキーが使用可能な場合、さまざまなネットワークマネージャーが WireGuard のサポートを提供します。詳細については、[[#設定の永続化]] を参照してください。

=== グラフィカルクライアント ===

* {{App|wireguird|Linux向けのWireGuard用GTK GUIクライアント。|https://github.com/UnnoTed/wireguird|{{AUR|wireguird}}}}

=== コマンドラインツール ===

* {{App|wg_tool|サーバーとユーザーの wireguard 設定を管理するツール。|https://github.com/gene-git/wg_tool|{{AUR|wg_tool}}}}
* {{App|wg-client|コマンドラインとGUIの両方を備えたLinuxクライアント。|https://github.com/gene-git/wg-client|{{AUR|wg-client}}}}
* {{App|wg2nd|{{man|8|wg-quick}}形式のWireGuard設定を[[systemd-networkd]]互換の設定に変換するツール。|https://git.flu0r1ne.net/wg2nd/about|{{AUR|wg2nd}}}}

== 使用方法 ==

ここでは以下の構成でピア間のトンネルを設定する方法を説明します:

{| class="wikitable"
!
! Peer A
! Peer B
|----------------------------------------------------------
| 外部 IP アドレス
| 10.10.10.1/24
| 10.10.10.2/24
|----------------------------------------------------------
| 内部 IP アドレス
| 10.0.0.1/24
| 10.0.0.2/24
|----------------------------------------------------------
| wireguard 使用ポート
| UDP/48574
| UDP/39814
|}

外部アドレスはあらかじめ用意してください。例えば、ピア A からピア B に {{ic|ping 10.10.10.2}} で ping が通るようにする必要があります。内部アドレスは {{ic|ip}} コマンドで作成する新しいアドレスで、WireGuard ネットワーク内で内部的に共有します。IP アドレスの {{ic|/24}} は [[wikipedia:Classless_Inter-Domain_Routing#CIDR_notation|CIDR]] です。

==== 鍵の生成 ====

{{Note|秘密鍵ファイルを保存するときは {{ic|600}} などのように厳しいパーミッションを使うことを推奨します。}}

秘密鍵を作成するには:

$ wg genkey > privatekey

公開鍵を作成するには:

$ wg pubkey < privatekey > publickey

もしくは、秘密鍵と公開鍵を同時に作成するには:

$ wg genkey | tee privatekey | wg pubkey > publickey

量子コンピュータが実用化された場合を考慮して、既存の公開鍵暗号に対称鍵暗号のレイヤーを追加するために事前共有鍵を生成することもできます:

# wg genpsk > preshared

=== 手動設定 ===
==== Peer A の設定 ====

このピアでは UDP ポート 48574 を開いて内部・外部 IP アドレスと公開鍵を紐づけてピア B からの接続を許可します:

# ip link add dev wg0 type wireguard
# ip addr add 10.0.0.1/24 dev wg0
# wg set wg0 listen-port 48574 private-key ./privatekey
# wg set wg0 peer [Peer B public key] persistent-keepalive 25 allowed-ips 10.0.0.2/32 endpoint 10.10.10.2:39814
# ip link set wg0 up

{{ic|[Peer B public key]}} は {{ic|1=EsnHH9m6RthHSs+sd9uM6eCHe/mMVFaRh93GYadDDnM=}} という形式で指定してください。{{ic|allowed-ips}} はトラフィックの送信を許可するアドレスのリストを指定してください。{{ic|allowed-ips 0.0.0.0/0}} であらゆるアドレスにトラフィックを送信できるようになります。

==== Peer B の設定 ====

ピア A とほとんど同じですが、wireguard デーモンで使用するのは UDP ポート 39814 でピア A からの接続だけを許可します:

# ip link add dev wg0 type wireguard
# ip addr add 10.0.0.2/24 dev wg0
# wg set wg0 listen-port 39814 private-key ./privatekey
# wg set wg0 peer [Peer A public key] persistent-keepalive 25 allowed-ips 10.0.0.1/32 endpoint 10.10.10.1:48574
# ip link set wg0 up

=== 基本チェック ===
パラメータを付けずに wg コマンドを呼び出すことで現在の設定を確認できます。

例えば、ピア A で実行すると以下のように表示されます:

peer-a$ wg
interface: wg0
public key: UguPyBThx/+xMXeTbRYkKlP0Wh/QZT3vTLPOVaaXTD8=
private key: (hidden)
listening port: 48574

peer: 9jalV3EEBnVXahro0pRMQ+cHlmjE33Slo9tddzCVtCw=
endpoint: 10.10.10.2:39814
allowed ips: 10.0.0.2/32

トンネルの末端にアクセスすることができるはずです:
peer-a$ ping 10.0.0.2

=== 設定の永続化 ===

{{ic|showconf}} を使うことで設定を保存できます:
# wg showconf wg0 > /etc/wireguard/wg0.conf
# wg setconf wg0 /etc/wireguard/wg0.conf

==== ピア設定例 ====

{{hc|1=/etc/wireguard/wg0.conf|2=
[Interface]
Address = 10.0.0.1/32
PrivateKey = [CLIENT PRIVATE KEY]
MTU = 1420

[Peer]
PublicKey = [SERVER PUBLICKEY]
AllowedIPs = 10.0.0.0/24, 10.123.45.0/24, 1234:4567:89ab::/48
Endpoint = [SERVER ENDPOINT]:51820
PersistentKeepalive = 25
}}

==== systemd-networkd の設定例 ====

{{hc|1=/etc/systemd/network/30-wg0.netdev|2=
[NetDev]
Name = wg0
Kind = wireguard
Description = Wireguard

[WireGuard]
PrivateKey = [CLIENT PRIVATE KEY]

[WireGuardPeer]
PublicKey = [SERVER PUBLIC KEY]
PresharedKey = [PRE SHARED KEY]
AllowedIPs = 10.0.0.0/24
Endpoint = [SERVER ENDPOINT]:51820
PersistentKeepalive = 25
}}

{{hc|1=/etc/systemd/network/30-wg0.network|2=
[Match]
Name = wg0

[Network]
Address = 10.0.0.3/32
DNS = 10.0.0.1

[Route]
Gateway = 10.0.0.1
Destination = 10.0.0.0/24
}}

== 特定のユースケース: VPN サーバー ==

このセクションでは [[OpenVPN]] などと同じように暗号化されたトンネルを使ってサーバー・ネットワークリソースにアクセスできるようにするため、WireGuard の「サーバー」と汎用的な「クライアント」を設定します。サーバーは Linux で稼働させますがクライアントのプラットフォームは複数選択できます (WireGuard プロジェクトは Linux ネイティブや macOS のソフトウェアに加えて iOS や Android プラットフォームのアプリも提供しています)。詳しくは公式プロジェクトの [https://www.wireguard.com/install/ インストールリンク] を見てください。

=== サーバー ===
サーバー側のマシンではまず IPv4 フォワーディングを有効にしてください:

# sysctl net.ipv4.ip_forward=1

変更を永続化するには {{ic|/etc/sysctl.d/99-sysctl.conf}} に {{ic|1=net.ipv4.ip_forward = 1}} を追加します。

インターネットに接続する場合は[[ファイアウォール]]を設定することが推奨されます:
* WireGuard が動作するポートの UDP トラフィックを許可してください (例えば 51820/udp のトラフィックを許可)。
* WireGurad の設定 {{ic|/etc/wireguard/wg0.conf}} に転送ポリシーを記述しない場合はファイアウォールで転送ポリシーを設定してください。以下の例はそのまま動作します。

最後に、WAN からアクセスできるようにするため WireGuard のポートをルーターからサーバーの LAN の IP に転送するようにする必要があります。

=== 鍵の生成 ===
サーバーとクライアントの鍵を[[#鍵の生成]]で説明しているように生成してください。

=== サーバーの設定 ===
サーバーの設定ファイルを作成:

{{Note|''PresharedKey'' 行は任意です。使用する場合、事前共有鍵をサーバーとクライアントの設定ファイルで設定する必要があります。詳しくは wg の [[man ページ]]を参照してください。}}

{{hc|1=/etc/wireguard/wg0.conf|2=
[Interface]
Address = 10.200.200.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = [SERVER PRIVATE KEY]
MTU = 1420

# note - substitute ''eth0'' in the following lines to match the Internet-facing interface
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
# client foo
PublicKey = [FOO's PUBLIC KEY]
PresharedKey = [PRE-SHARED KEY]
AllowedIPs = 10.200.200.2/32

[Peer]
# client bar
PublicKey = [BAR's PUBLIC KEY]
PresharedKey = [PRE-SHARED KEY]
AllowedIPs = 10.200.200.3/32
}}

{{Note|必要に応じて同じような形式でピアを追加してください。}}

インターフェイスは手動あるいは [[systemctl]] で制御できます。

{{ic|wg-quick up wg0}} でインターフェイスが立ち上がり {{ic|wg-quick down wg0}} で終了します。

systemctl で制御したい場合、{{ic|wg-quick@.service}} を[[起動]]・[[有効化]]してください。"@" 記号の後ろにサーバーの設定の名前を入力してください。例:
# systemctl start wg-quick@wg0

=== クライアントの設定 ===

クライアントの設定ファイルを作成:

{{hc|1=foo.conf|2=
[Interface]
Address = 10.200.200.2/24
PrivateKey = [FOO's PRIVATE KEY]
DNS = 10.200.200.1
MTU = 1420

[Peer]
PublicKey = [SERVER PUBLICKEY]
PresharedKey = [PRE-SHARED KEY]
AllowedIPs = 0.0.0.0/0
Endpoint = my.ddns.address.com:51820
}}

{{hc|1=bar.conf|2=
[Interface]
Address = 10.200.200.3/24
PrivateKey = [BAR's PRIVATE KEY]
DNS = 10.200.200.1
MTU = 1420

[Peer]
PublicKey = [SERVER PUBLICKEY]
PresharedKey = [PRE-SHARED KEY]
AllowedIPs = 0.0.0.0/0
Endpoint = my.ddns.address.com:51820
}}

{{Warning|1=設定ファイルを作るときは、公開・秘密鍵と ''Address ='' の値を適当に置き換えてください。}}

クライアントがスマートフォンなどの場合、{{Pkg|qrencode}} を使って設定を共有することができます:
$ qrencode -t ansiutf8 < foo.conf

{{Note|[[NetworkManager]] を使用している場合、{{ic|NetworkManager-wait-online.service}} を、[[systemd-networkd]] を使用している場合、{{ic|systemd-networkd-wait-online.service}} を有効化することでネットワーク接続が有効になってからサービスが実行されるようになります。}}

== トンネルのテスト ==

トンネルが確立されたら、[[netcat]]を使ってトラフィックを送り、スループットや CPU 使用率などをテストすることができます。
トンネルの片側で {{ic|nc}} を listen モードで実行し、もう片側で {{ic|/dev/zero}} から送信モードの {{ic|nc}} にデータをパイプします。

以下の例では、ポート 2222 がトラフィックに使用されています（ファイアウォールを使用している場合は、ポート2222のトラフィックを必ず許可してください）。

トンネルの片側で、トラフィックを確認する。

$ nc -vvlnp 2222

トンネルの向こう側では、トラフィックを送ってください。

$ dd if=/dev/zero bs=1024K count=1024 | nc -v 10.0.0.203 2222

状態の監視は {{ic|wg}} で直接行うことができます。

{{hc|# wg|2=
interface: wg0
public key: UguPyBThx/+xMXeTbRYkKlP0Wh/QZT3vTLPOVaaXTD8=
private key: (hidden)
listening port: 51820

peer: 9jalV3EEBnVXahro0pRMQ+cHlmjE33Slo9tddzCVtCw=
preshared key: (hidden)
endpoint: 192.168.1.216:53207
allowed ips: 10.0.0.0/0
latest handshake: 1 minutes, 17 seconds ago
transfer: 56.43 GiB received, 1.06 TiB sent
}}

== ヒントとテクニック ==

=== 秘密鍵を暗号化して保存 ===

設定ファイルの [Interface] セクションの PrivateKey 行を以下のように置き換えることで [[pass]] を使って秘密鍵を暗号化できます:

PostUp = wg set %i private-key <(su user -c "export PASSWORD_STORE_DIR=/path/to/your/store/; pass WireGuard/private-keys/%i")

user はユーザー名に置き換えてください。詳しくは {{man|8|wg-quick}} を参照。

=== IP が変わるエンドポイント ===

サーバーのドメインの解決後、WireGuard は DNS で再度変更をチェックすることはありません [https://lists.zx2c4.com/pipermail/wireguard/2017-November/002028.html]。

WireGuard サーバーの IP アドレスが DHCP, Dyndns, IPv6 などによって頻繁に変更された場合、WireGuard クライアントは接続を失います。その際 {{ic|wg set "$INTERFACE" peer "$PUBLIC_KEY" endpoint "$ENDPOINT"}} などのようにエンドポイントを更新しなくてはなりません。

また、エンドポイントがアドレスを変更したとき (例えば新しいプロバイダ・データセンターに移行した場合)、DNS を更新するだけでは不十分となるため、DNS ベースのセットアップでは reresolve-dns を定期的に実行する必要が出てきます。

{{Pkg|wireguard-tools}} には WG の設定ファイルを読み込んでエンドポイントのアドレスを自動的にリセットするスクリプト {{ic|/usr/share/wireguard/examples/reresolve-dns/reresolve-dns.sh}} が含まれています。

{{ic|/usr/share/wireguard/examples/reresolve-dns/reresolve-dns.sh /etc/wireguard/wg.conf}} を定期的に実行することで IP が変わったエンドポイントから復旧できます。

systemd タイマーを使って30秒ごとに WireGuard のエンドポイントを更新する例 [https://git.zx2c4.com/WireGuard/tree/contrib/examples/reresolve-dns/README]:

{{hc|/etc/systemd/system/wireguard_reresolve-dns.timer|2=
[Unit]
Description=Periodically reresolve DNS of all WireGuard endpoints

[Timer]
OnCalendar=*:*:0/30

[Install]
WantedBy=timers.target
}}

{{hc|/etc/systemd/system/wireguard_reresolve-dns.service|2=
[Unit]
Description=Reresolve DNS of all WireGuard endpoints
Wants=network-online.target
After=network-online.target

[Service]
Type=oneshot
ExecStart=/bin/sh -c 'for i in /etc/wireguard/*.conf; do /usr/share/wireguard/examples/reresolve-dns/reresolve-dns.sh "\$i"; done'
}}

上記ファイルを作成したら {{ic|wireguard_reresolve-dns.timer}} を[[起動]]・[[有効化]]してください。

=== QR コードを生成 ===

クライアントが電話などのモバイルデバイスの場合、{{Pkg|qrencode}} を使用してクライアントの設定 QR コードを生成し、端末に表示できます。

$ qrencode -t ansiutf8 -r ''client.conf''

=== デバッグログを有効にする ===

ダイナミックデバッグをサポートするカーネル上で Linux カーネルモジュールを使用する場合、実行することでデバッグ情報をカーネルリングバッファ（[[dmesg]] や [[journalctl]] で表示可能）に書き込むことができます。

# modprobe wireguard
# echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control

=== ピア(サーバー)設定の再読み込み ===

WireGuard ピア（主にサーバ）が設定から他のピアを追加または削除し、アクティブなセッションを停止せずに再読み込みしたい場合、次のコマンドを実行することができます:

# wg syncconf ${WGNET} <(wg-quick strip ${WGNET})

ここで、{{ic|$WGNET}} は WireGuard インターフェース名または設定ベース名です。例えば、{{ic|wg0}}(サーバー用) または {{ic|client}} です。(クライアント用には ''.conf'' という拡張子をつけません)。

== トラブルシューティング ==

=== ルートが定期的にリセットされる ===

[[NetworkManager]] が WireGuard のインターフェイスを管理しないようにしてください:

{{hc|1=/etc/NetworkManager/conf.d/unmanaged.conf|2=
[keyfile]
unmanaged-devices=interface-name:wg0
}}

=== DNS 解析の不具合について ===

すべてのトラフィックを WireGuard インターフェイスでトンネリングする場合、しばらくすると、または新規接続時に接続が失われたように見えることがあります。これは、[[ネットワークマネージャ]]または [[DHCP]] クライアントが {{ic|/etc/resolv.conf}} を上書きすることによって発生した可能性があります。

デフォルトでは ''wg-quick'' は新しい [[DNS]] エントリを登録するために ''resolvconf'' を使用します (設定ファイルの {{ic|DNS}} キーワードから).これは、''resolvconf'' を使用しない[[ネットワークマネージャ]]や [[DHCP]] クライアントで、{{ic|/etc/resolv.conf}} を上書きし、wg-quick が追加した DNS サーバを削除するため問題が発生するでしょう。

解決策としては、[[resolvconf]] をサポートするネットワークソフトを使用することです。

{{Note|[[systemd-resolved]] のユーザは、{{Pkg|systemd-resolvconf}} が[[インストール]]されていることを確認する必要があります。}}

[[NetworkManager]] のユーザは、デフォルトでは resolvconf を使用しないことを知っておく必要があります。[[systemd-resolved]] を使うことが推奨されています。これが望ましくない場合は {{Pkg|openresolv}} を[[インストール]]して、[[NetworkManager#Use openresolv]].
を使用するように NetworkManagerを設定してください。

=== 低 MTU ===

MTU が低すぎる (1280 未満) ため、wg-quick は WireGuard インターフェイスの作成に失敗した可能性があります。これは、クライアントのインターフェイスセクションの WireGuard 設定で MTU 値を設定することで解決できます。

{{hc|foo.config|2=
[Interface]
Address = 10.200.200.2/24
MTU = 1420
PrivateKey = ''PEER_FOO_PRIVATE_KEY''
DNS = 10.200.200.1
}}

=== 鍵の長さや形式が正しくない ===

以下のエラーを回避するためには、鍵ファイルのパスではなく、鍵の値を設定ファイルに記述してください。

{{hc|# wg-quick up wg0|
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
Key is not the correct length or format: `''/path/example.key'''
Configuration parsing error
[#] ip link delete dev wg0
}}

=== NAT /ファイアウォールの背後にある持続的な接続を確立することができない ===

デフォルトでは、WireGuard ピアは通信する必要がない間は沈黙を保つため、NAT や[[ファイアウォール]]の背後にあるピアは、他のピアに自らアクセスするまで他のピアからアクセスできない場合があります（または接続がタイムアウトする場合もあります）。NAT やファイアウォールの背後にあるピアの{{ic|1=PersistentKeepalive = 25}} 設定に追加することで、接続が開いたままになることを保証できます。

{{hc|# Set the persistent-keepalive via command line (temporarily)|
[#] wg set wg0 peer $PUBKEY persistent-keepalive 25
}}

=== ループルーティング ===

エンドポイント IP を許可 IP リストに追加すると、カーネルは、元のルートを使用するのではなく、当該デバイスバインディングにハンドシェイクを送信しようとします。その結果、ハンドシェイクの試行が失敗します。

回避策として、エンドポイントへの正しいルートを、以下の方法で手動で追加する必要があります。

ip route add <endpoint ip> via <gateway> dev <network interface>

e.g. for peer B from above in a standard LAN setup:

ip route add 203.0.113.102 via 192.168.0.1 dev eth0

このルートを永続化するには、{{ic|1=PostUp = ip route ...}} というコマンドを {{ic|wg0.conf}} の {{ic|[Interface]}} セクションに追加することができます。しかし、特定のセットアップ（例えば、NetworkManagerと組み合わせて {{ic|wg-quick@.service}} を使用）において、これはレジュームに失敗するかもしれません。さらに、これは静的なネットワーク設定に対してのみ機能し、ゲートウェイやデバイスが変更されると失敗します（例えば、ラップトップでイーサネットや無線 LAN を使用している場合など）。

NetworkManagerを使用する場合、より柔軟な解決策として、ディスパッチャスクリプトを使用して WireGuardを起動することができます。root として以下を作成します。

{{hc|/etc/NetworkManager/dispatcher.d/50-wg0.sh|2=
#!/bin/sh
case $2 in
up)
wg-quick up wg0
ip route add <endpoint ip> via $IP4_GATEWAY dev $DEVICE_IP_IFACE
;;
pre-down)
wg-quick down wg0
;;
esac
}}
まだ起動していない場合は、{{ic|NetworkManager-dispatcher.service}} を起動し、有効にしてください。
また、NetworkManager が {{ic|wg0}} のルートを管理していないことを確認してください。([[#ルートが定期的にリセットされる|上記参照]])。

=== NetworkManager で切断される ===

デスクトップの場合、全てのトラフィックを WireGuard のインターフェイス経由にすると切断が発生することがあります。アクセスポイントに新しく接続してしばらくした後に切断が発生します。

デフォルトでは ''wg-quick'' は [[openresolv]] などの resolvconf プロバイダを使用して新しい [[DNS]] エントリを登録します (設定ファイルの {{ic|DNS}} キーワード)。しかしながら [[NetworkManager]] はデフォルトでは resolvconf を使用しません。新しい [[DHCP]] リースが取得されるたびに [[NetworkManager]] は DHCP によって提供されたアドレスで全体の DNS アドレスを上書きします。

==== resolvconf を使う ====

システムで resolvconf を使っていて接続が切れる場合、NetworkManager が resolvconf を使うように設定してください:

{{hc|/etc/NetworkManager/conf.d/rc-manager.conf|2=
[main]
rc-manager=resolvconf
}}

==== dnsmasq を使う ====

[[Dnsmasq#openresolv]] を見てください。

==== systemd-resolved を使う ====

2018年9月時点では、{{Pkg|systemd-resolvconf}} による resolvconf 互換モードは ''wg-quick'' で機能しません。ただし {{ic|PostUp}} フックを使うことで ''wg-quick'' から [[systemd-resolved]] を使用することはできます。まず NetworkManager で ''systemd-resolved'' を使うように設定: [[NetworkManager#systemd-resolved]]。それからトンネルの設定を変更:

{{hc|1=/etc/wireguard/wg0.conf|2=
[Interface]
Address = 10.0.0.2/24 # The client IP from wg0server.conf with the same subnet mask
PrivateKey = [CLIENT PRIVATE KEY]
PostUp = resolvectl domain %i "~."; resolvectl dns %i 10.0.0.1; resolvectl dnssec %i yes
MTU = 1420

[Peer]
PublicKey = [SERVER PUBLICKEY]
AllowedIPs = 0.0.0.0/0, ::0/0
Endpoint = [SERVER ENDPOINT]:51820
PersistentKeepalive = 25
}}

新しく利用可能になった DNS サーバーに優先度を与えるためにドメイン名は {{ic|"~."}} に設定する必要があります。

{{ic|wg0}} が落ちたときに ''systemd-resolved'' は自動的に全てのパラメータを戻すため {{ic|PostDown}} キーは必要ありません。

== 参照 ==

* [[Wikipedia:WireGuard]]
* [https://www.wireguard.com/presentations/ Presentations by Jason Donenfeld].
* [https://lists.zx2c4.com/mailman/listinfo/wireguard Mailing list]
* [https://docs.sweeting.me/s/wireguard Unofficial WireGuard Documentation]
* [[Debian:Wireguard]]

Rosenpass

2026-05-28T04:11:45Z

Kusanaginoturugi: 訳出

[[Category:Virtual Private Network]]
{{Related articles start}}
{{Related|WireGuard}}
{{Related articles end}}

[https://rosenpass.eu Rosenpass] は、将来の量子コンピュータの脅威から [[WireGuard]] VPN 接続を保護するために設計された、オープンソースの耐量子安全な鍵交換プロトコルです。Rosenpass は WireGuard と並行して動作し、耐量子安全な共有シークレットを WireGuard の事前共有鍵インターフェイスに注入します。すべての VPN トラフィックは引き続き WireGuard のみを通過し、WireGuard のバイナリとプロトコルは変更されないため、WireGuard 単体が持つすべてのセキュリティ保証は維持されます。

Rosenpass は [[Rust]] で書かれており、主な開発は [https://github.com/rosenpass/rosenpass GitHub] で調整されています。また、MIT ライセンスおよび Apache 2 ライセンスの下で公開されています。

== インストール ==

Rosenpass とヘルパーツール ''rp'' を提供する {{Pkg|rosenpass}} パッケージを[[インストール]]してください。

== テスト ==

インストールが成功したことを簡単に確認するには、''rosenpass'' と ''rp'' の両方のツールで {{ic|help}} コマンドを実行し、短い使用方法のヒントを表示します:

{{bc|$ rosenpass help}}
{{bc|$ rp help}}

{{Tip|現在のバージョン v0.2.2 では、Git がインストールされていない場合、''rp'' はエラーメッセージを表示します。Git がなくても ''rp'' は安全に使用できます。}}

== 設定 ==

このセクションでは、2 つのピア間で Rosenpass により強化された WireGuard 接続をセットアップする方法を示します。技術的には、2 つのピアに違いはありません。ただし、わかりやすくするために、それぞれ {{ic|server}} と {{ic|client}} という名前を付けています。

=== 鍵ペアの準備 ===

各ピアは、シークレット鍵と公開鍵で構成される鍵ペアを生成する必要があります。

==== 両方のピアのシークレット鍵を生成する ====

以下のコマンドはシークレット鍵を生成し、新しく作成される {{ic|server.rosenpass-secret}} および {{ic|client.rosenpass-secret}} ディレクトリに保存します:

[server]$ rp genkey server.rosenpass-secret

[client]$ rp genkey client.rosenpass-secret

==== 公開鍵を抽出する ====

以下のコマンドは公開鍵を計算し、新しく作成される {{ic|server.rosenpass-public}} および {{ic|client.rosenpass-public}} ディレクトリに保存します:

[server]$ rp pubkey server.rosenpass-secret server.rosenpass-public

[client]$ rp pubkey client.rosenpass-secret client.rosenpass-public

==== 各 -public ディレクトリを相手側のピアへコピーする ====

両方のピアには、それぞれ相手側ピアの {{ic|-public}} ディレクトリが必要です。また、それは既に存在している {{ic|-secret}} および {{ic|-public}} ディレクトリの隣に配置する必要があります。両方のマシンへ SSH アクセスできる場合は、以下のコマンドを使用できます:

[server]$ scp -r server.rosenpass-public user@client:/path/to/directory

[client]$ scp -r client.rosenpass-public user@server:/path/to/directory

これで鍵ペアのセットアップは完了です。

=== Rosenpass により強化された WireGuard VPN を起動する ===

以下の 2 つのコマンドでは、{{ic|$SERVERIP}} を client が server に到達できる IP アドレスに置き換えてください。これはパブリックにルーティング可能な IP アドレス、ローカルネットワーク内の IP アドレス、あるいはループバックアドレス {{ic|127.0.0.1}} でもかまいません。

同様に、{{ic|$DEVICE}} は、server が {{ic|$SERVERIP}} 宛てのパケットを受信するネットワークデバイスの名前に置き換えてください。

ネットワークデバイスと IP アドレスに関する情報は、以下のコマンドで確認できます:

[server]$ ip a

==== VPN を起動する ====

{{ic|server}} と {{ic|client}} の両方で Rosenpass と WireGuard プロセスを起動します。これにより、{{ic|rosenpass0}} という名前の WireGuard ネットワークインターフェイスが作成されます。次の手順で、このインターフェイスに内部 IP アドレスを割り当て、内部ネットワーク用のルートを追加します。

以下の 2 つのコマンドでは、{{ic|$SERVERIP}} を {{ic|client}} が {{ic|server}} に到達できる IP アドレスに置き換えることを忘れないでください。

{{bc|
[server]# rp exchange server.rosenpass-secret \
dev rosenpass0 \
listen $SERVERIP:9999 \
peer client.rosenpass-public \
allowed-ips 192.168.21.0/24
}}

{{bc|
[client]# rp exchange client.rosenpass-secret \
dev rosenpass0 \
peer server.rosenpass-public \
endpoint $SERVERIP:9999 \
allowed-ips 192.168.21.0/24
}}

==== IP アドレスを割り当てる ====

この例では、VPN 内部ネットワークとして {{ic|192.168.21.0/24}} のアドレスを使用します。他のアドレスを試してもかまいませんが、必要に応じてすべてのコマンド内の IP アドレスとネットワークを調整してください。

[server]# ip a add 192.168.21.1 dev rosenpass0

[client]# ip a add 192.168.21.2 dev rosenpass0

==== WireGuard ネットワーク用のルートを追加する ====

ルーティングテーブルに内部ネットワーク {{ic|192.168.21.0/24}} 用のエントリが含まれていることを確認してください。これは以下のコマンドで確認できます:

$ ip route

出力には、{{ic|192.168.21.0/24}} ネットワークに関する行が含まれ、インターフェイス {{ic|rosenpass0}} が示されているはずです:

{{bc|…
192.168.21.0/24 dev rosenpass0 scope link
…
}}

このような行が存在しない場合は、以下のコマンドでルートを追加できます:

# ip route add 192.168.21.0/24 dev rosenpass0

server と client の両方で確認し、必要に応じて実行することを忘れないでください。

==== ファイアウォールを設定する ====

'''ファイアウォールの背後にいるかどうかわからない場合''' は、この手順をスキップして、接続できない場合に戻ってきてもかまいません。

この例では、server は 2 つのポートで到達可能である必要があります。Rosenpass 接続用の {{ic|9999}} と、WireGuard 接続用の {{ic|10000}} です。ポート {{ic|9999}} は次の手順で使用するコマンド内で明示的に設定されています。WireGuard のポートは、''rp'' ツールによって Rosenpass のポート番号に 1 を加えた値に暗黙的に設定されます。この例では {{ic|10000}} です。

'''ファイアウォールを設定''' して、ポート {{ic|9999}} および {{ic|10000}} への受信 UDP パケットを許可してください。

[[Uncomplicated Firewall]] を使用している場合は、この例のセットアップに必要な受信接続を許可するルールを追加するために、以下のコマンドを使用できます。{{ic|$SERVERIP}} を client が server に到達できる IP アドレスに、{{ic|$DEVICE}} を server が {{ic|$SERVERIP}} 宛てのパケットを受信するネットワークデバイス名に置き換えることを忘れないでください。

{{bc|
[server]# ufw allow in on $DEVICE \
from any to $SERVERIP \
port 9999 \
proto udp \
comment 'Rosenpass'
}}

{{bc|
[server]# ufw allow in on $DEVICE \
from any to $SERVERIP \
port 10000 \
proto udp \
comment 'WireGuard'
}}

新しいファイアウォールルールは以下のようになります:

{{hc|server # ufw status|
Status: active

To Action From
-- ------ ----
$SERVERIP 9999/udp on $DEVICE ALLOW Anywhere # Rosenpass
$SERVERIP 10000/udp on $DEVICE ALLOW Anywhere # WireGuard
}}

[[nftables]] を使用している場合は、Rosenpass の要件を満たすルールを追加するために、以下のコマンドを使用できます。このコマンドは、適切なファイアウォールテーブルとチェインが {{ic|filter}} および {{ic|input}} という名前であることを前提としています。これらは nftables のサンプル設定で使用される標準的な名前です。{{ic|$SERVERIP}} を client が server に到達できる IP アドレスに、{{ic|$DEVICE}} を server が {{ic|$SERVERIP}} 宛てのパケットを受信するネットワークデバイス名に置き換えることを忘れないでください。

{{bc|
[server]# nft add rule \
inet filter input iif $DEVICE \
udp dport { 9999, 10000 } \
ip daddr $SERVERIP accept
}}

再起動後もこのルールが維持されるように保存してください。方法の 1 つは、{{ic|/etc/nftables.conf}} に追加することです。

=== セットアップを検証する ===

==== Rosenpass ハンドシェイクをテストする ====

最初のテストとして、Rosenpass が共有シークレットを交換し、それを事前共有鍵 (PSK) として WireGuard に渡せているか確認します。

server と client の両方で、以下のコマンドを実行すると、WireGuard が接続に使用している事前共有鍵を確認できます。これは秘密であるべき暗号鍵素材を表示するため、コンピュータの画面を誰が見られる状態にあるか注意してください:

# wg show rosenpass0 preshared-keys

出力には、スペースで区切られた 2 つの base64 エンコード文字列からなる 1 行が表示されるはずです。2 番目の文字列が事前共有鍵です。これは両方のマシンで同じである必要があります。Rosenpass はこれをおよそ 2 分ごとに変更します:

q1ySvWXjsS2l0Apu2f9YZLw7pLT4+QXfIZVTpMBO01I= (redacted)

同様に、server と client の両方で WireGuard 接続の状態を表示できます:

# wg show rosenpass0

client では以下のような出力が表示されるはずです。ここで {{ic|$SERVERIP}} は以前に設定した IP アドレスと一致します:

{{bc|
interface: rosenpass0
public key: 1NQJ1iObOnkkWlqDU6bhqGPEjCIIvKTKjI10XE0t7DA{{=}}
private key: (hidden)
listening port: 52922

peer: q1ySvWXjsS2l0Apu2f9YZLw7pLT4+QXfIZVTpMBO01I{{=}}
preshared key: (hidden)
endpoint: $SERVERIP:10000
allowed ips: 192.168.21.0/24
}}

server では以下のような出力が表示されるはずです。WireGuard の待ち受けポートは {{ic|10000}} です:

{{bc|
interface: rosenpass0
public key: q1ySvWXjsS2l0Apu2f9YZLw7pLT4+QXfIZVTpMBO01I{{=}}
private key: (hidden)
listening port: 10000

peer: 1NQJ1iObOnkkWlqDU6bhqGPEjCIIvKTKjI10XE0t7DA{{=}}
preshared key: (hidden)
allowed ips: 192.168.21.0/24
}}

表示される server の公開鍵は client 側の peer の ID として表示され、逆も同様である必要があります。

WireGuard トンネルとその事前共有鍵の現在の状態を継続的に監視したい場合は、client と server の両方で以下のコマンドを使用できます。これはデバッグ時に便利です。たとえば、両側が同じ事前共有鍵を使い続け、それを同期して交換しているかを確認できます。このコマンドは、上記の 2 つのコマンドを組み合わせ、2 秒ごとに繰り返します:

# watch 'wg show all; wg show all preshared-keys'

==== WireGuard 接続をテストする ====

client ピアから server の内部 IP アドレスへ ping を送信し、その逆も行うことで、WireGuard 接続をテストできます:

[server]$ ping 192.168.21.2

[client]$ ping 192.168.21.1

server から client への ping は、client から server への ping を開始した後にのみ通る場合があります。

'''すべて完了し、ping テストが成功しましたか?'''

これで Rosenpass は、およそ 2 分ごとに WireGuard 用の新しい PSK 鍵を生成し、WireGuard VPN 接続を量子コンピュータによる将来の攻撃から保護し続けます。

== 参照 ==

* [[WireGuard]]

{{TranslationStatus|Rosenpass|2026/05/28|850138}}

FreeRADIUS

2026-05-28T02:16:39Z

Kusanaginoturugi: TranslationStatus を更新

[[Category:サーバー]]
[[en:FreeRADIUS]]
[https://freeradius.org/ FreeRADIUS サーバー] は、Unix および Unix 系のオペレーティングシステム用のデーモンで、[[Wikipedia:RADIUS|RADIUS]] プロトコルサーバーを設定することができます。

== インストール ==

{{Pkg|freeradius}} を[[インストール]]します。

キーを作成するには以下を実行します：

# /etc/raddb/certs/bootstrap

{{ic|ca.cnf}}、{{ic|client.cnf}}、{{ic|server.cnf}} ファイルを調査して、生成された証明書のプロパティをカスタマイズするか、または異なる CA で署名したい場合には自分自身の証明書やキーを作成することもできます。デフォルトでは、bootstrap スクリプトは新しい CA を生成してキーに署名します。

== 基本的な使用方法 ==

{{ic|freeradius.service}} を[[開始]]します。

== 設定 ==

設定ファイルは {{ic|/etc/raddb/}} にあります。

== 参照 ==

* [[Wikipedia:FreeRADIUS]]
* [https://wiki.freeradius.org/ FreeRADIUS Wiki]
* [https://freeradius.org/documentation/ FreeRADIUS ドキュメント]

{{TranslationStatus|FreeRADIUS|2026/05/28|876961}}

FreeRADIUS

2026-05-28T02:15:39Z

Kusanaginoturugi: /* ツール */ 削除

FreeRADIUS

2026-05-28T02:14:26Z

Kusanaginoturugi: add en page link.

[[Category:サーバー]]
[[en:FreeRADIUS]]
[https://freeradius.org/ FreeRADIUS サーバー] は、Unix および Unix 系のオペレーティングシステム用のデーモンで、[[Wikipedia:RADIUS|RADIUS]] プロトコルサーバーを設定することができます。

== インストール ==

{{Pkg|freeradius}} を[[インストール]]します。

キーを作成するには以下を実行します：

# /etc/raddb/certs/bootstrap

{{ic|ca.cnf}}、{{ic|client.cnf}}、{{ic|server.cnf}} ファイルを調査して、生成された証明書のプロパティをカスタマイズするか、または異なる CA で署名したい場合には自分自身の証明書やキーを作成することもできます。デフォルトでは、bootstrap スクリプトは新しい CA を生成してキーに署名します。

=== ツール ===

* {{App|Daloradius|高度な RADIUS ウェブプラットフォームで、ホットスポットや一般的な ISP デプロイメントの管理に適しています。|http://daloradius.com/|{{AUR|daloradius}}}}

== 基本的な使用方法 ==

{{ic|freeradius.service}} を[[開始]]します。

== 設定 ==

設定ファイルは {{ic|/etc/raddb/}} にあります。

== 参照 ==

* [[Wikipedia:FreeRADIUS]]
* [https://wiki.freeradius.org/ FreeRADIUS Wiki]
* [https://freeradius.org/documentation/ FreeRADIUS ドキュメント]

{{TranslationStatus|FreeRADIUS|2024/04/12|787813}}

Fluxer

2026-05-27T05:09:43Z

Kusanaginoturugi: /* 使い方 */ タイトル修正

[[en:Fluxer]]
[[Category:アプリケーション]]
[[Category:インスタントメッセージ]]
[[Category:Voice over IP]]

[https://fluxer.app/ Fluxer] は、テキスト、音声、ビデオチャット機能を提供するフリーでオープンソースのコミュニケーションプラットフォームです。Discord のようなプロプライエタリなプラットフォームの使いやすい代替として設計されており、プライバシーとカスタマイズ性に重点を置いています。

== インストール ==
=== Flatpak ===

推奨されるインストール方法は [[Flatpak]] 経由です。

次のコマンドを使用します:
# flatpak install flathub app.fluxer.Fluxer

パッケージに関する追加情報については、[https://flathub.org/en/apps/app.fluxer.Fluxer 公式 Flathub ページ]を参照してください。

=== AUR ===

Fluxer は [[Arch User Repository]] でも利用できます。

{{AUR|fluxer-bin}} パッケージを使って Fluxer アプリをインストールしてください (または最新の commit 用に {{AUR|fluxer-git}})。

=== その他のインストール方法 ===

あるいは、プロジェクトは '''AppImage'''、'''tar.gz'''、'''RPM''' など、さまざまな形式を提供しています。

[https://fluxer.app/ 公式 Fluxer ウェブサイト]から直接ダウンロードできます。

== 使用方法 ==

デスクトップ環境のアプリケーションメニューから Fluxer を起動するか、コマンドラインから起動します:

$ fluxer

=== 初回実行 ===

初回起動時に、アカウントの作成またはログインを求められます。

== 設定 ==

設定ファイルは標準の XDG ディレクトリ {{ic|~/.config/fluxer/}} に保存されます。

{{Note|設定フォルダの場所は、インストール方法によって変わる場合があります。}}

=== テーマとカスタマイズ ===

Fluxer は CSS によるカスタムテーマをサポートしています。

カスタムテーマを適用するには:

1. ''Settings > Look & Feel'' に移動します。

2. CSS コードを貼り付けるか、記述します。

== 参照 ==

* [https://fluxer.app/ 公式ウェブサイト]
* [https://github.com/fluxerapp/fluxer GitHub リポジトリ]
* [https://flathub.org/en/apps/app.fluxer.Fluxer Flathub ページ]

{{TranslationStatus|Fluxer|2026-05-27|875864}}

Fluxer

2026-05-27T05:07:51Z

Kusanaginoturugi: 記事を更新

[[en:Fluxer]]
[[Category:アプリケーション]]
[[Category:インスタントメッセージ]]
[[Category:Voice over IP]]

[https://fluxer.app/ Fluxer] は、テキスト、音声、ビデオチャット機能を提供するフリーでオープンソースのコミュニケーションプラットフォームです。Discord のようなプロプライエタリなプラットフォームの使いやすい代替として設計されており、プライバシーとカスタマイズ性に重点を置いています。

== インストール ==
=== Flatpak ===

推奨されるインストール方法は [[Flatpak]] 経由です。

次のコマンドを使用します:
# flatpak install flathub app.fluxer.Fluxer

パッケージに関する追加情報については、[https://flathub.org/en/apps/app.fluxer.Fluxer 公式 Flathub ページ]を参照してください。

=== AUR ===

Fluxer は [[Arch User Repository]] でも利用できます。

{{AUR|fluxer-bin}} パッケージを使って Fluxer アプリをインストールしてください (または最新の commit 用に {{AUR|fluxer-git}})。

=== その他のインストール方法 ===

あるいは、プロジェクトは '''AppImage'''、'''tar.gz'''、'''RPM''' など、さまざまな形式を提供しています。

[https://fluxer.app/ 公式 Fluxer ウェブサイト]から直接ダウンロードできます。

== 使い方 ==

デスクトップ環境のアプリケーションメニューから Fluxer を起動するか、コマンドラインから起動します:

$ fluxer

=== 初回実行 ===

初回起動時に、アカウントの作成またはログインを求められます。

== 設定 ==

設定ファイルは標準の XDG ディレクトリ {{ic|~/.config/fluxer/}} に保存されます。

{{Note|設定フォルダの場所は、インストール方法によって変わる場合があります。}}

=== テーマとカスタマイズ ===

Fluxer は CSS によるカスタムテーマをサポートしています。

カスタムテーマを適用するには:

1. ''Settings > Look & Feel'' に移動します。

2. CSS コードを貼り付けるか、記述します。

== 参照 ==

* [https://fluxer.app/ 公式ウェブサイト]
* [https://github.com/fluxerapp/fluxer GitHub リポジトリ]
* [https://flathub.org/en/apps/app.fluxer.Fluxer Flathub ページ]

{{TranslationStatus|Fluxer|2026-05-27|875864}}

OpenClaw

2026-05-27T05:02:31Z

Kusanaginoturugi: /* インストール */ add note.

[[Category:開発]]
[[en:OpenClaw]]
[[zh-hans:OpenClaw]]
{{Related articles start}}
{{Related|Node.js}}
{{Related articles end}}

[https://openclaw.ai/ OpenClaw] は、オーストリアのプログラマ Peter Steinberger によって開発されたオープンソースの AI エージェントです。ユーザーはインスタントメッセージングツールを通じて接続し、コンピューターをリモート操作して、メール処理、文書の閲覧、コーディング、ソーシャルメディアへの投稿などのタスクを自動化できます。

== インストール ==
{{AUR|openclaw}} をインストールしてください。開発版が必要な場合は、{{AUR|openclaw-git}} をインストールしてください。
{{Note|{{AUR|openclaw-git}} は現在メンテナンスされておらず、推奨されなくなっています。}}

=== 公式インストール方法 ===
まず、{{Pkg|nodejs}}, {{Pkg|npm}}, {{Pkg|git}} をインストールしてください。{{Pkg|nodejs}} は、その LTS バージョンである {{Pkg|nodejs-lts-krypton}} または {{Pkg|nodejs-lts-jod}} に置き換えることができます。次に、ターミナルで以下を実行します:

# curl -fsSL https://openclaw.ai/install.sh | bash

1 つのコマンドでインストール全体を完了できます。現時点では、2 つの [[AUR]] パッケージはいずれもバグがあり不安定です。公式インストール方法を使用すると、[[AUR]] パッケージングによって導入されたバグを避けることができます。OpenClaw を長時間継続して動作させる必要があり、OpenClaw を {{Pkg|pacman}} で管理できるかどうかを気にしない場合は、公式インストール方法を使用することが推奨されます。

=== [[nix]] 経由でのインストール ===
{{Pkg|nix}} を [[インストール]] し、unstable channel に切り替えてから、以下を実行します:

# nix-env -iA nixpkgs.openclaw

他のソフトウェアパッケージの管理に nix を使用していない限り、OpenClaw のためだけにこのインストール方法を単独で使用することは推奨されません。nix が Arch Linux の既存のソフトウェアパッケージと重複する多数の依存関係をダウンロードし、大量のディスク容量を占有するためです。

== 設定 ==
OpenClaw をインストールした後、以下のコマンドで初心者向けガイドを実行します:

# openclaw onboard --install-daemon

詳細な設定方法については、[https://docs.openclaw.ai/start/wizard 公式ドキュメント] を参照してください。

OpenClaw を使用するには、大規模モデル API Key、AI 検索エンジン API Key、およびインスタントメッセージングソフトウェアを事前に準備する必要があります。また、大規模モデルプロバイダーに適切な入金が必要になる場合があります。OpenClaw と互換性のある大規模モデル、AI 検索エンジン、インスタントメッセージングソフトウェアは、すべて初心者向けガイド内に表示されます。事前に準備していない場合でも、初心者向けガイドの途中で選択して登録できます。

設定後、以下を実行します:

# openclaw dashboard

これにより、ブラウザで制御 UI が開きます。ブラウザでそのページをブックマークし、ブラウザから直接アクセスすることもできます。

== 移行 ==
Arch Linux を再インストールする場合、他のディストリビューションから Arch Linux に移行する場合、Arch Linux から他のディストリビューションに移行する場合、インストール方法を変更する場合、またはコンピューターを変更する場合は、移行作業を行う必要があります。

まず、'''移行前に'''、'''旧システム''' のターミナルで以下を実行します:

# openclaw gateway stop

移行中にデータが変更されるのを防ぐため、OpenClaw gateway の実行を停止します。次に、ホームディレクトリ内の .openclaw ディレクトリをバックアップします。その後、新しいシステムに OpenClaw をインストールします。同じシステムでインストール方法だけを変更する場合は、競合を避けるために古いソフトウェアパッケージを削除する必要があります。その後、.openclaw ディレクトリを新しいシステムのホームディレクトリにコピーします。初心者向けガイドを実行する必要はなく、単に以下を実行します:

# openclaw doctor

プログラムは設定ファイルを自動的に修復し、再設定を行うことなく元のデータが保持されます。次に、'''新システム''' のターミナルで以下を実行します:

# openclaw gateway restart

これで、新しいシステムで OpenClaw を使用できます。

== 注意 ==
OpenClaw はタスクを実行するためにシステムレベルの権限を必要とします。不適切に使用すると、データ漏洩、重要なデータの誤削除、ウイルス感染など、さまざまなリスクにつながる可能性があります。セキュリティリスクを減らす方法には以下があります:

* 2 台以上のコンピューターがある場合、1 台を OpenClaw の実行専用にし、もう 1 台に重要なデータを保存します。(物理的な分離、最も安全)
* OpenClaw を sandbox 内で実行します。{{AUR|openclaw}} または {{AUR|openclaw-git}} 経由で OpenClaw をインストールした場合、[[bubblewrap]] sandbox が依存関係としてインストールされます。
* OpenClaw を [[wikipedia:Virtual Machine|Virtual Machine]] にインストールします。
* [[Windows とのデュアルブート]]を使用し、重要なデータを Windows に置き、Windows が配置されているパーティションを直接マウントしないようにします。さらに、BitLocker を使用して Windows が配置されているパーティションを暗号化し、Arch Linux がそのパーティションをマウントできないようにすることもできます。

== FAQ ==

=== [[Bash]] がコマンドを見つけられない ===
[[nix]] を使用してインストールされた OpenClaw、または [[nix]] から他のインストール方法へ移行された OpenClaw でよく見られます。システムを再起動すると問題は解決します。

=== {{AUR|openclaw-git}} のインストール中に prepare でエラーが発生する ===
{{AUR|openclaw-git}} 内の一部ファイルのロジックが upstream によって変更されていますが、パッケージャーはまだ [[PKGBUILD]] と openclaw-patch.sh を更新していません。SolarAquarion が [https://gist.github.com/SolarAquarion/10b9b2fb0a9bc7fd02f8c49e382a0a4e 修正版] を提供しています。ソースファイルを置き換えて、手動で [[makepkg]] を試してください。

=== [[アプリケーション一覧/インターネット#インスタントメッセージクライアント|インスタントメッセージアプリ]] で返信がない ===
一時的な解決方法としては、OpenClaw dashboard で IM 内のメッセージを確認するよう OpenClaw に依頼します。恒久的に解決するには、OpenClaw に自己診断を依頼します。

== 参考資料 ==

* [https://docs.openclaw.ai/ 公式ドキュメント]

{{TranslationStatus|OpenClaw|2026-05-27|873806}}

OpenClaw

2026-05-27T05:01:22Z

Kusanaginoturugi: add TranslationStatus.

[[Category:開発]]
[[en:OpenClaw]]
[[zh-hans:OpenClaw]]
{{Related articles start}}
{{Related|Node.js}}
{{Related articles end}}

[https://openclaw.ai/ OpenClaw] は、オーストリアのプログラマ Peter Steinberger によって開発されたオープンソースの AI エージェントです。ユーザーはインスタントメッセージングツールを通じて接続し、コンピューターをリモート操作して、メール処理、文書の閲覧、コーディング、ソーシャルメディアへの投稿などのタスクを自動化できます。

== インストール ==
{{AUR|openclaw}} をインストールしてください。開発版が必要な場合は、{{AUR|openclaw-git}} をインストールしてください。

=== 公式インストール方法 ===
まず、{{Pkg|nodejs}}, {{Pkg|npm}}, {{Pkg|git}} をインストールしてください。{{Pkg|nodejs}} は、その LTS バージョンである {{Pkg|nodejs-lts-krypton}} または {{Pkg|nodejs-lts-jod}} に置き換えることができます。次に、ターミナルで以下を実行します:

# curl -fsSL https://openclaw.ai/install.sh | bash

1 つのコマンドでインストール全体を完了できます。現時点では、2 つの [[AUR]] パッケージはいずれもバグがあり不安定です。公式インストール方法を使用すると、[[AUR]] パッケージングによって導入されたバグを避けることができます。OpenClaw を長時間継続して動作させる必要があり、OpenClaw を {{Pkg|pacman}} で管理できるかどうかを気にしない場合は、公式インストール方法を使用することが推奨されます。

=== [[nix]] 経由でのインストール ===
{{Pkg|nix}} を [[インストール]] し、unstable channel に切り替えてから、以下を実行します:

# nix-env -iA nixpkgs.openclaw

他のソフトウェアパッケージの管理に nix を使用していない限り、OpenClaw のためだけにこのインストール方法を単独で使用することは推奨されません。nix が Arch Linux の既存のソフトウェアパッケージと重複する多数の依存関係をダウンロードし、大量のディスク容量を占有するためです。

== 設定 ==
OpenClaw をインストールした後、以下のコマンドで初心者向けガイドを実行します:

# openclaw onboard --install-daemon

詳細な設定方法については、[https://docs.openclaw.ai/start/wizard 公式ドキュメント] を参照してください。

OpenClaw を使用するには、大規模モデル API Key、AI 検索エンジン API Key、およびインスタントメッセージングソフトウェアを事前に準備する必要があります。また、大規模モデルプロバイダーに適切な入金が必要になる場合があります。OpenClaw と互換性のある大規模モデル、AI 検索エンジン、インスタントメッセージングソフトウェアは、すべて初心者向けガイド内に表示されます。事前に準備していない場合でも、初心者向けガイドの途中で選択して登録できます。

設定後、以下を実行します:

# openclaw dashboard

これにより、ブラウザで制御 UI が開きます。ブラウザでそのページをブックマークし、ブラウザから直接アクセスすることもできます。

== 移行 ==
Arch Linux を再インストールする場合、他のディストリビューションから Arch Linux に移行する場合、Arch Linux から他のディストリビューションに移行する場合、インストール方法を変更する場合、またはコンピューターを変更する場合は、移行作業を行う必要があります。

まず、'''移行前に'''、'''旧システム''' のターミナルで以下を実行します:

# openclaw gateway stop

移行中にデータが変更されるのを防ぐため、OpenClaw gateway の実行を停止します。次に、ホームディレクトリ内の .openclaw ディレクトリをバックアップします。その後、新しいシステムに OpenClaw をインストールします。同じシステムでインストール方法だけを変更する場合は、競合を避けるために古いソフトウェアパッケージを削除する必要があります。その後、.openclaw ディレクトリを新しいシステムのホームディレクトリにコピーします。初心者向けガイドを実行する必要はなく、単に以下を実行します:

# openclaw doctor

プログラムは設定ファイルを自動的に修復し、再設定を行うことなく元のデータが保持されます。次に、'''新システム''' のターミナルで以下を実行します:

# openclaw gateway restart

これで、新しいシステムで OpenClaw を使用できます。

== 注意 ==
OpenClaw はタスクを実行するためにシステムレベルの権限を必要とします。不適切に使用すると、データ漏洩、重要なデータの誤削除、ウイルス感染など、さまざまなリスクにつながる可能性があります。セキュリティリスクを減らす方法には以下があります:

* 2 台以上のコンピューターがある場合、1 台を OpenClaw の実行専用にし、もう 1 台に重要なデータを保存します。(物理的な分離、最も安全)
* OpenClaw を sandbox 内で実行します。{{AUR|openclaw}} または {{AUR|openclaw-git}} 経由で OpenClaw をインストールした場合、[[bubblewrap]] sandbox が依存関係としてインストールされます。
* OpenClaw を [[wikipedia:Virtual Machine|Virtual Machine]] にインストールします。
* [[Windows とのデュアルブート]]を使用し、重要なデータを Windows に置き、Windows が配置されているパーティションを直接マウントしないようにします。さらに、BitLocker を使用して Windows が配置されているパーティションを暗号化し、Arch Linux がそのパーティションをマウントできないようにすることもできます。

== FAQ ==

=== [[Bash]] がコマンドを見つけられない ===
[[nix]] を使用してインストールされた OpenClaw、または [[nix]] から他のインストール方法へ移行された OpenClaw でよく見られます。システムを再起動すると問題は解決します。

=== {{AUR|openclaw-git}} のインストール中に prepare でエラーが発生する ===
{{AUR|openclaw-git}} 内の一部ファイルのロジックが upstream によって変更されていますが、パッケージャーはまだ [[PKGBUILD]] と openclaw-patch.sh を更新していません。SolarAquarion が [https://gist.github.com/SolarAquarion/10b9b2fb0a9bc7fd02f8c49e382a0a4e 修正版] を提供しています。ソースファイルを置き換えて、手動で [[makepkg]] を試してください。

=== [[アプリケーション一覧/インターネット#インスタントメッセージクライアント|インスタントメッセージアプリ]] で返信がない ===
一時的な解決方法としては、OpenClaw dashboard で IM 内のメッセージを確認するよう OpenClaw に依頼します。恒久的に解決するには、OpenClaw に自己診断を依頼します。

== 参考資料 ==

* [https://docs.openclaw.ai/ 公式ドキュメント]

{{TranslationStatus|OpenClaw|2026-05-27|873806}}

Atrium

2026-05-27T04:58:43Z

Kusanaginoturugi: add en page link.

{{Lowercase title}}
[[Category:ディスプレイマネージャ]]
[[en:Atrium]]
{{Related articles start}}
{{Related|ディスプレイマネージャ}}
{{Related|Wayland}}
{{Related articles end}}

'''atrium''' は、[[Wikipedia:Multiseat configuration|マルチシート]] のサポートを第一級に備えた Wayland [[ディスプレイマネージャ]] です。マルチシート構成では、複数のユーザーが 1 台のマシンを共有し、それぞれが独自のモニター、キーボード、マウス、独立したログインセッションを使用します。atrium は各シートを自動的に処理します。シートを検出し、ログイン画面を表示し、[[PAM]] 経由でユーザーを認証し、Wayland コンポジタを起動します。

{{Note|atrium は Wayland セッションのみをサポートしています。X11 セッションはサポートされていません。}}

== インストール ==

{{AUR|atrium}} を [[インストール]] してください。

== 設定 ==

{{Note|デフォルト設定は、ほとんどのシングルシートおよび標準的なマルチシート構成で動作します。何かが動作しない場合や、コンポジタの選択をカスタマイズする必要がある場合を除き、この手順は省略できます。}}

atrium は起動時に 2 つの設定ファイルを読み込みます:

* {{ic|/etc/atrium.conf}} — デーモン設定 (コンポジタコマンド、セッションポリシー、タイムアウト)
* {{ic|/etc/atrium-greeter.conf}} — greeter 設定 (フォントサイズ、画面ブランキングのタイムアウト、パスワードなしユーザー)

どちらのファイルも、コメントアウトされたデフォルト設定とともにインストールされます。利用可能なオプションについては、インラインコメントを参照してください。

atrium は {{ic|/usr/share/wayland-sessions/}} から利用可能なセッションを検出します。そこに {{ic|.desktop}} ファイルを提供するインストール済みの Wayland コンポジタは、ログイン画面に自動的に表示されます。

== 起動 ==

atrium を起動するには、{{ic|atrium.service}} を[[有効化]]して再起動してください。

{{Note|
* [[systemd]] サービスを有効化する前に、他のディスプレイマネージャを[[無効化]]してください。
* すぐに[[起動]]すると、アクティブなグラフィカルセッションが終了します。
}}

== マルチシート ==

atrium にはマルチシートサポートが組み込まれています。各シートには専用の GPU が必要です。atrium は logind 経由でシートを検出し、それぞれで独立した greeter を起動します。デバイスは {{ic|loginctl attach}} でシートに割り当てる必要がありますが、追加の設定は不要です。

手順ごとのデバイス割り当てガイドについては、[https://github.com/kavau/atrium/blob/main/doc/multiseat-setup.md Multiseat Setup Guide] を参照してください。

== 既知の制限 ==

* '''限定的なホットプラグ''' — 実行時の GPU またはシートの削除/追加は、まだ完全には処理されません。復旧するには atrium を再起動してください (これによりアクティブなセッションは終了します)。
* '''SIGKILL へのエスカレーションなし''' — SIGTERM を無視するコンポジタは、無期限に待機されます。

== 参照 ==

* [https://github.com/kavau/atrium GitHub リポジトリ]
* [https://github.com/kavau/atrium/releases リリースとリリースノート]
* [https://www.reddit.com/r/linux_multiseat/ r/linux_multiseat] — 一般的な Linux マルチシートの議論

{{TranslationStatus|Atrium|2026-05-27|876072}}

OpenRGB

2026-05-27T04:49:52Z

Kusanaginoturugi: 訳出

[[en:OpenRGB]]
[https://openrgb.org/ OpenRGB] プロジェクトは、Linux、Mac、Windows にわたってベンダーに依存せずに RGB デバイスを設定することを目的としています。

== インストール ==

[https://openrgb.org/releases.html#pl OpenRGB の Pipeline release] と同等の {{AUR|openrgb-git}} パッケージを[[インストール]]してください。注意 (2026年5月): {{Pkg|openrgb}} パッケージの最新バージョンは {{ic|1.0rc2}} であり、使用すべきではないほど古いものです。より多くのハードウェアへの対応が欠けており、特定の Sapphire AMD グラフィックカードではシステム全体をクラッシュさせる可能性すらあります。

== プラグイン ==

さまざまな [https://openrgb.org/plugins.html OpenRGB 用プラグイン]が、{{ic|openrgb-plugin-(plugin-name)-git}} という名前で [[AUR]] から利用できます。例えば、{{AUR|openrgb-plugin-effects-git}}、{{AUR|openrgb-plugin-hardware-sync-git}} があります。必要なパッケージをインストールするだけです。

== Next ブランチ ==

{{AUR|openrgb-next-git}} は OpenRGB の {{ic|next}} ブランチに追従します。このブランチには、plugin API への大きな変更や、その他さまざまな改善が含まれています。このバージョン用のプラグインは、通常版と区別するために {{ic|openrgb-plugin-(plugin-name)''-next''-git}} として AUR から利用できます。OpenRGB やそのプラグインについて、next と non-next のパッケージを混在させないでください。

{{ic|next}} ブランチは安定版ではなく、予告なしに壊れることがあります。活発に開発されています。

{{TranslationStatus|OpenRGB|2026-05-27|876546}}

SpeedyNote

2026-05-27T04:44:21Z

Kusanaginoturugi: カテゴリを修正

[[Category:メモ管理ソフトウェア]]
[[en:SpeedyNote]]
{{Related articles start}}
{{Related|Xournal++}}
{{Related|Flatpak}}
{{Related articles end}}

[https://github.com/alpha-liu-01/SpeedyNote SpeedyNote] は、Qt 6 を使用して C++ で書かれた、スタイラス入力向けのクロスプラットフォームなノート作成アプリケーションです。筆圧感知インキング、マルチレイヤー編集、PDF 注釈、端のない無限キャンバスモードをサポートしています。このアプリケーションは GNU General Public License v3 の下でリリースされています。

== インストール ==

{{AUR|speedynote}} パッケージを [[インストール]] してください。

別の方法として、SpeedyNote は [https://flathub.org/apps/org.speedynote.SpeedyNote Flathub] から [[Flatpak]] としても利用できます:

{{bc|$ flatpak install flathub org.speedynote.SpeedyNote}}

== ファイル形式 ==

SpeedyNote は 2 つのネイティブファイル形式を使用します:

; {{ic|.snb}} : タイル化されたページデータを含むバンドルディレクトリ。ページ付きノートブックと端のないキャンバスドキュメントの両方で使用されます。
; {{ic|.snbx}} : 共有とバックアップを目的とした、{{ic|.snb}} バンドルの圧縮アーカイブ。

0.x 系列のレガシーな {{ic|.spn}} 形式はサポートされなくなりました。

== コマンドラインインターフェイス ==

{{ic|speedynote}} 実行ファイルは、ノートブックに対するバッチ操作用のサブコマンドを提供します。完全なリファレンスについては {{ic|speedynote --help}} を実行してください。

=== PDF へのエクスポート ===

{{bc|$ speedynote export-pdf ''input'' -o ''output''}}

{{ic|input}} 引数には、単一の {{ic|.snb}} バンドルまたはディレクトリのどちらかを指定できます。後者の場合、{{ic|output}} もディレクトリである必要があります。一般的なオプションには、エクスポート解像度を設定する {{ic|--dpi}}、ページ範囲を選択する {{ic|--pages}}、PDF 背景を省略する {{ic|--annotations-only}} があります。

=== SNBX へのエクスポート ===

{{bc|$ speedynote export-snbx ''input'' -o ''output''}}

{{ic|--no-pdf}} オプションは埋め込まれた元の PDF を除外し、より小さなアーカイブを生成します。

=== SNBX のインポート ===

{{bc|$ speedynote import ''input'' -d ''destination''}}

{{ic|--add-to-library}} オプションは、インポートしたノートブックをランチャーのタイムラインに登録します。これを指定しない場合、ファイルは {{ic|destination}} に配置されますが、UI には表示されません。

すべてのサブコマンドは、操作をプレビューする {{ic|--dry-run}}、サブディレクトリをたどる {{ic|--recursive}}、スクリプトに適した機械可読出力を行う {{ic|--json}} を受け付けます。

== 参照 ==

* [https://github.com/alpha-liu-01/SpeedyNote 上流リポジトリ]
* [https://flathub.org/apps/org.speedynote.SpeedyNote Flathub ページ]

SpeedyNote

2026-05-27T04:43:02Z

Kusanaginoturugi: add en page link.

[[Category:Note-taking software]]
[[en:SpeedyNote]]
{{Related articles start}}
{{Related|Xournal++}}
{{Related|Flatpak}}
{{Related articles end}}

[https://github.com/alpha-liu-01/SpeedyNote SpeedyNote] は、Qt 6 を使用して C++ で書かれた、スタイラス入力向けのクロスプラットフォームなノート作成アプリケーションです。筆圧感知インキング、マルチレイヤー編集、PDF 注釈、端のない無限キャンバスモードをサポートしています。このアプリケーションは GNU General Public License v3 の下でリリースされています。

== インストール ==

{{AUR|speedynote}} パッケージを [[インストール]] してください。

別の方法として、SpeedyNote は [https://flathub.org/apps/org.speedynote.SpeedyNote Flathub] から [[Flatpak]] としても利用できます:

{{bc|$ flatpak install flathub org.speedynote.SpeedyNote}}

== ファイル形式 ==

SpeedyNote は 2 つのネイティブファイル形式を使用します:

; {{ic|.snb}} : タイル化されたページデータを含むバンドルディレクトリ。ページ付きノートブックと端のないキャンバスドキュメントの両方で使用されます。
; {{ic|.snbx}} : 共有とバックアップを目的とした、{{ic|.snb}} バンドルの圧縮アーカイブ。

0.x 系列のレガシーな {{ic|.spn}} 形式はサポートされなくなりました。

== コマンドラインインターフェイス ==

{{ic|speedynote}} 実行ファイルは、ノートブックに対するバッチ操作用のサブコマンドを提供します。完全なリファレンスについては {{ic|speedynote --help}} を実行してください。

=== PDF へのエクスポート ===

{{bc|$ speedynote export-pdf ''input'' -o ''output''}}

{{ic|input}} 引数には、単一の {{ic|.snb}} バンドルまたはディレクトリのどちらかを指定できます。後者の場合、{{ic|output}} もディレクトリである必要があります。一般的なオプションには、エクスポート解像度を設定する {{ic|--dpi}}、ページ範囲を選択する {{ic|--pages}}、PDF 背景を省略する {{ic|--annotations-only}} があります。

=== SNBX へのエクスポート ===

{{bc|$ speedynote export-snbx ''input'' -o ''output''}}

{{ic|--no-pdf}} オプションは埋め込まれた元の PDF を除外し、より小さなアーカイブを生成します。

=== SNBX のインポート ===

{{bc|$ speedynote import ''input'' -d ''destination''}}

{{ic|--add-to-library}} オプションは、インポートしたノートブックをランチャーのタイムラインに登録します。これを指定しない場合、ファイルは {{ic|destination}} に配置されますが、UI には表示されません。

すべてのサブコマンドは、操作をプレビューする {{ic|--dry-run}}、サブディレクトリをたどる {{ic|--recursive}}、スクリプトに適した機械可読出力を行う {{ic|--json}} を受け付けます。

== 参照 ==

* [https://github.com/alpha-liu-01/SpeedyNote 上流リポジトリ]
* [https://flathub.org/apps/org.speedynote.SpeedyNote Flathub ページ]

Magic Wormhole

2026-05-27T04:40:03Z

Kusanaginoturugi: 記事を更新

[[Category:ピアツーピア]]
[[en:Magic Wormhole]]
[https://en.wikipedia.org/wiki/Magic_Wormhole Magic Wormhole] はピアツーピアのファイル転送プロトコルです。公開 transit relay を使用して、2 つのデバイス間に直接接続を確立します。独自の transit relay をホストすることも可能です。

== インストール ==
CLI 用に {{Pkg|magic-wormhole}} をインストールしてください。

独自の relay をホストするには、{{Pkg|python-magic-wormhole-mailbox-server}} と {{Pkg|python-magic-wormhole-transit-relay}} をインストールしてください。

== Relay の設定 ==

以下の systemd unit を作成して[[有効化]]/[[起動]]してください。
{{hc|/etc/systemd/system/wormhole-mailbox.service|2=
[Unit]
Description=Magic Wormhole Mailbox Server
After=network.target

[Service]
ExecStart=/usr/bin/twist --log-format=text wormhole-mailbox --channel-db=/var/lib/magic-wormhole-mailbox-server/relay.sqlite
DynamicUser=yes
StateDirectory=magic-wormhole-mailbox-server
RestrictNamespaces=yes
SystemCallFilter=@system-service
Restart=on-failure
RestartSec=5s

[Install]
WantedBy=multi-user.target
}}

{{hc|/etc/systemd/system/wormhole-relay.service|2=
[Unit]
Description=Magic Wormhole Transit Relay
After=network.target

[Service]
ExecStart=/usr/bin/twist --log-format=text transitrelay
DynamicUser=yes
RestrictNamespaces=yes
SystemCallFilter=@system-service
Restart=on-failure

[Install]
WantedBy=multi-user.target
}}

Magic Wormhole

2026-05-27T04:34:26Z

Kusanaginoturugi: カテゴリを追加

[[Category:ピアツーピア]]
[[en:Magic Wormhole]]
コンピュータ間でデータを安全に転送するコマンドラインツール {{ic|wormhole}}。

== サーバー ==

独自の構成を実行したい場合、{{Pkg|python-magic-wormhole-mailbox-server}} と {{Pkg|python-magic-wormhole-transit-relay}} をインストールできます。これらを実行する方法の一例は以下の通りです:

/etc/systemd/system/wormhole-mailbox.service:
[Unit]
Description=Magic Wormhole Mailbox Server
After=network.target

[Service]
ExecStart=/usr/bin/twist --log-format=text wormhole-mailbox \
--channel-db=/var/lib/magic-wormhole-mailbox-server/relay.sqlite
DynamicUser=yes
StateDirectory=magic-wormhole-mailbox-server
RestrictNamespaces=yes
SystemCallFilter=@system-service
Restart=on-failure
RestartSec=5s

[Install]
WantedBy=multi-user.target

/etc/systemd/system/wormhole-relay.service:
[Unit]
Description=Magic Wormhole Transit Relay
After=network.target

[Service]
ExecStart=/usr/bin/twist --log-format=text transitrelay
DynamicUser=yes
RestrictNamespaces=yes
SystemCallFilter=@system-service
Restart=on-failure

[Install]
WantedBy=multi-user.target

Magic Wormhole

2026-05-27T04:32:39Z

Kusanaginoturugi: add en page link.

[[en:Magic Wormhole]]
コンピュータ間でデータを安全に転送するコマンドラインツール {{ic|wormhole}}。

== サーバー ==

独自の構成を実行したい場合、{{Pkg|python-magic-wormhole-mailbox-server}} と {{Pkg|python-magic-wormhole-transit-relay}} をインストールできます。これらを実行する方法の一例は以下の通りです:

/etc/systemd/system/wormhole-mailbox.service:
[Unit]
Description=Magic Wormhole Mailbox Server
After=network.target

[Service]
ExecStart=/usr/bin/twist --log-format=text wormhole-mailbox \
--channel-db=/var/lib/magic-wormhole-mailbox-server/relay.sqlite
DynamicUser=yes
StateDirectory=magic-wormhole-mailbox-server
RestrictNamespaces=yes
SystemCallFilter=@system-service
Restart=on-failure
RestartSec=5s

[Install]
WantedBy=multi-user.target

/etc/systemd/system/wormhole-relay.service:
[Unit]
Description=Magic Wormhole Transit Relay
After=network.target

[Service]
ExecStart=/usr/bin/twist --log-format=text transitrelay
DynamicUser=yes
RestrictNamespaces=yes
SystemCallFilter=@system-service
Restart=on-failure

[Install]
WantedBy=multi-user.target

Nftables

2026-05-27T04:16:04Z

Kusanaginoturugi: /* 参照 */ update

{{DISPLAYTITLE:nftables}}
[[Category:ファイアウォール]]
[[en:nftables]]
{{Related articles start}}
{{Related|iptables}}
{{Related|Firewalld}}
{{Related articles end}}
[https://netfilter.org/projects/nftables/ nftables] は既存の ip-, ip6-, arp-, ebtables フレームワークを置き換える [[Wikipedia:Netfilter|Netfilter]] のプロジェクトです。新しいパケットフィルタリングフレームワーク、新しいユーザースペースユーティリティ (nft)、そして ip- と ip6tables の互換レイヤーを提供します。現行のフック、接続追跡システム、ユーザースペースのキューイングコンポーネント、そして netfilter のログサブシステムを使っています。

nftables は3つのメインコンポーネントから構成されています: カーネルの実装、libnl netlink communication そして nftables ユーザースペースフロントエンド。カーネルは netlink の設定インターフェイスだけでなく、小さなクラス言語インタプリタを使用するランタイムのルールセットの評価も提供します。libnl にはカーネルと通信するためのローレベルな関数が含まれています。nftables フロントエンドはユーザーが対話するものです。

[https://wiki.nftables.org/wiki-nftables/index.php/Main_Page nftables の公式 wiki] には詳しい情報が載っています。

== インストール ==

ユーザースペースユーティリティパッケージ {{Pkg|nftables}} を[[インストール]]してください。

{{Pkg|iptables-legacy}} がインストールされている場合は、{{Pkg|iptables}} をインストールしてください。これにより {{Pkg|iptables-legacy}} が自動的にアンインストールされ、{{Pkg|nftables}} との競合を防ぎます。

{{Note|{{Pkg|iptables}} パッケージは、実際には nftables ルールを作成し操作する {{ic|iptables}} コマンドの実装を提供します。ただし、古い {{Pkg|iptables-legacy}} ツールで作成されたルールは別のオブジェクトであり、それらが存在する場合、''iptables'' は警告を表示します。}}

=== フロントエンド ===

{{Tip|ほとんどの [[iptables#Front-ends|iptables フロントエンド]]は nftables を直接または間接的にサポートしていませんが、将来的に対応する可能性があります。[https://www.spinics.net/lists/netfilter/msg58215.html] nftables と iptables の両方をサポートするグラフィカルフロントエンドの 1 つは [[firewalld]] です。[https://firewalld.org/2018/07/nftables-backend] [[ufw]] は互換レイヤー ''iptables-nft'' を介してサポートされています。[https://bugs.launchpad.net/ufw/+bug/1880453]}}

* {{App|[[firewalld]] (firewall-cmd)|ネットワークとファイアウォールゾーンの設定、およびファイアウォールルールの設定と構成を行うデーモンおよびコンソールインターフェイス。|https://firewalld.org/|{{Pkg|firewalld}}}}
* {{App|nft-blackhole|国別およびブラックリストによって nftables で IP をブロックするスクリプト / デーモン。|https://github.com/tomasz-c/nft-blackhole|{{AUR|nft-blackhole}}}}
* {{App|[[ufw]]|Ufw は Uncomplicated Firewall の略で、netfilter ファイアウォールを管理するためのプログラムです。|https://help.ubuntu.com/community/UFW|{{Pkg|ufw}}}}
* {{App|reaction|プログラムの出力から繰り返し出現するパターンをスキャンし、アクションを実行するデーモン。fail2ban の軽量な代替です。|https://framagit.org/ppom/reaction|{{AUR|reaction}}}}

== 使用方法 ==

{{Tip|すでに iptables ルールがある場合は、その iptables ルールを nftables ルールに変換できます。詳しくは [https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_to_nftables] を参照してください。}}

'''nftables''' は、コマンドラインで作成された一時的なルールと、ファイルから読み込まれた、またはファイルに保存された永続的なルールを'''区別しません'''。

すべてのルールは {{ic|nft}} コマンドラインユーティリティを使って作成または読み込む必要があります。

使用方法については [[#設定]] セクションを参照してください。

現在の ruleset は次のコマンドで表示できます:

# nft list ruleset

すべての ruleset を削除し、システムにファイアウォールがない状態にします:

# nft flush ruleset

{{ic|nftables.service}} を[[再起動]]することで、{{ic|/etc/nftables.conf}} から ruleset を読み込みます。

=== シンプルなファイアウォール ===

{{Pkg|nftables}} には、{{ic|/etc/nftables.conf}} ファイルに保存されたシンプルで安全なファイアウォール設定が付属しています。

{{ic|nftables.service}} は、[[起動/有効化]]されたときに、そのファイルからルールを読み込みます。

== 設定 ==

nftables ユーザースペースユーティリティ {{ic|nft}} は、ruleset をカーネルに渡す前に、ルールセット評価の大部分を実行します。ルールはチェインに格納され、チェインはテーブルに格納されます。以下のセクションでは、これらの構造を作成および変更する方法を示します。

ファイルから入力を読み込むには、{{ic|-f}}/{{ic|--file}} オプションを使用します:

# nft --file ''filename''

既に読み込まれているルールは'''自動的には'''フラッシュされないことに注意してください。

すべてのコマンドの完全な一覧については {{man|8|nft}} を参照してください。

===テーブル===

テーブルは[[#チェイン|チェイン]]を保持します。iptables のテーブルと違って、nftables には初めから組み込まれているテーブルはありません。テーブルの数や名前はユーザーが自由に決めることができますが、各テーブルにはアドレスファミリーをひとつしか保持することができません。5つのファミリーのうち指定したファミリーのパケットにだけ適用されます:

{| class="wikitable"
! nftables ファミリー || iptables ユーティリティ
|-
| ip || iptables
|-
| ip6 || ip6tables
|-
| inet || iptables と ip6tables
|-
| arp || arptables
|-
| bridge || ebtables
|}

{{ic|ip}} (IPv4) がデフォルトのファミリーです。特に指定がなければ {{ic|ip}} が使われます。

IPv4 と IPv6 の両方に適用されるルールを作成するには {{ic|inet}} を使います。{{ic|inet}} を使うには Linux 3.15 以上が必要で、{{ic|ip}} と {{ic|ip6}} ファミリーを統一してルールを簡単に定義できます。

{{Note|{{ic|inet}} は {{ic|nat}} タイプのチェインでは使えず、{{ic|filter}} タイプのチェインを使う必要があります ([https://www.spinics.net/lists/netfilter/msg56411.html ソース])。}}

アドレスフファミリーの完全な定義は {{man|8|nft}} の {{ic|ADDRESS FAMILIES}} セクションを参照してください。

以下で例示しているコマンドの {{ic|''family''}} は全て任意であり、指定しなかった場合は {{ic|ip}} が使われます。

==== テーブルの作成 ====

以下のコマンドで新しいテーブルが追加されます:

# nft add table ''family'' ''table''

==== テーブルの一覧表示 ====

全てのテーブルを表示するには:

# nft list tables

==== テーブル内のチェインとルールの表示 ====

指定したテーブルの全てのチェインとルールを表示するには:

# nft list table ''family_type'' ''table_name''

例えば、{{ic|inet}} family の {{ic|my_table}} テーブルのすべてのルールを一覧表示するには:

# nft list table inet my_table

==== テーブルの削除 ====

テーブルを削除するには:

# nft delete table ''family_type'' ''table_name''

これにより、テーブル内のすべてのチェインが破棄されます。

==== テーブルのクリア ====

テーブルから全てのルールを消去するには:

# nft flush table ''family_type'' ''table_name''

===チェイン===

チェインの用途は[[#ルール|ルール]]を保持することです。iptables のチェインと違って、nftables には初めから組み込まれているチェインはありません。そのためチェインが netfilter フレームワークにあるタイプやフックをどれも使わない場合、iptables とは異なりチェインを通り抜けるパケットは nftables の影響を受けません。

チェインには2つのタイプがあります。''base'' チェインはネットワークスタックからのパケットのエントリポイントとなります。フックの値を指定することができます。''regular'' チェインはジャンプターゲットとして使用することができます。

以下のコマンドで使っている {{ic|''family_type''}} は全て任意であり、指定しなかった場合は {{ic|ip}} が使われます。

==== チェインの作成 ====

===== Base chain =====

base chain を追加するには、type、hook、priority の値を指定する必要があります:

# nft add chain ''family_type'' ''table_name'' ''chain_name'' '{ type ''chain_type'' hook ''hook_type'' priority ''priority_value'' ; policy ''policy'' ;}'

{{ic|''chain_type''}} には {{ic|filter}}、{{ic|route}}、{{ic|nat}} を指定できます。

IPv4/IPv6/Inet address family では、{{ic|''hook_type''}} に {{ic|prerouting}}、{{ic|input}}、{{ic|forward}}、{{ic|output}}、{{ic|postrouting}} を指定できます。サポートされる ''family_type''、''chain_type''、''hook_type'' の組み合わせ一覧については {{man|8|nft|CHAINS}} を参照してください。

{{ic|''priority_value''}} には priority 名または整数値を指定できます。標準 priority 名と値の一覧については {{man|8|nft|CHAINS}} を参照してください。数値が小さいチェインほど先に処理され、負の値も使用できます。[https://wiki.nftables.org/wiki-nftables/index.php/Configuring_chains#Base_chain_types]

任意で、base chain には {{ic|''policy''}} ({{ic|drop}} またはデフォルトの {{ic|accept}}) を指定できます。これにより、チェイン内のルールで明示的に accept または refuse されなかったパケットに何が起こるかを定義します。

例えば、入力パケットをフィルタリングする base chain を追加するには:

# nft add chain inet my_table my_chain '{ type filter hook input priority 0; }'

上記のいずれでも {{ic|add}} を {{ic|create}} に置き換えると、新しいチェインを追加しますが、チェインが既に存在する場合はエラーを返します。

===== Regular chain =====

次のコマンドは、{{ic|''table_name''}} という名前のテーブルに {{ic|''chain_name''}} という名前の regular chain を追加します:

# nft add chain ''family_type'' ''table_name'' ''chain_name''

例えば、{{ic|inet}} address family の {{ic|my_table}} テーブルに {{ic|my_tcp_chain}} という regular chain を追加するには:

# nft add chain inet my_table my_tcp_chain

==== チェインの一覧表示 ====

次のコマンドは、''family_type'' のすべてのチェインを、ルールなしで一覧表示します ([[#ルールの一覧表示]] を参照):

# nft list chains ''family_type''

例えば、次のコマンドは IPv6 のチェインを一覧表示します:

# nft list chains ip6

family_type を省略した場合、すべてのチェインが表示されます。

==== チェインの編集 ====

チェインを編集したいときは、チェインの名前を指定して変更したいルールを定義します:

# nft chain ''family_type table_name chain_name'' '{ [ type ''chain_type'' hook ''hook_type'' device ''device_name'' priority ''priority_value'' ; policy ''policy_type'' ; ] }'

例えば、デフォルトテーブル内の {{ic|my_input}} チェインの policy を {{ic|accept}} から {{ic|drop}} に変更するには:

# nft chain inet my_table my_input '{ policy drop ; }'

==== チェインの削除 ====

チェインを削除するには:

# nft delete chain ''family_type'' ''table_name'' ''chain_name''

削除するチェインにはルールやジャンプターゲットが含まれていてはいけません。

==== チェインのルールを消去 ====

チェインからルールを消去するには:

# nft flush chain ''family_type'' ''table_name'' ''chain_name''

=== ルール ===

ルールは表現または宣言から構成され、チェインの中に格納されます。

==== ルールの追加 ====

{{Tip|''iptables-translate'' ユーティリティを使うことで [[iptables]] のルールを nftables フォーマットに変換できます。}}

チェインにルールを追加するには:

# nft add rule ''family_type'' ''table_name'' ''chain_name'' handle ''handle_value'' ''statement''

ルールは {{ic|''handle_value''}} の位置に追加されます。これは任意です。指定しない場合、ルールはチェインの末尾に追加されます。

ルール handle を確認するには、任意の有効な list コマンドに {{ic|--handle}} スイッチを追加する必要があります。このスイッチにより、{{ic|nft}} は出力に handle を表示します。{{ic|--numeric}} 引数は、未解決の IP アドレスなど、一部の数値出力を確認するのに便利です。

{{hc|# nft --handle --numeric list chain inet my_table my_input|2=<nowiki>
table inet my_table {
chain input {
type filter hook input priority 0;
ip saddr 127.0.0.1 accept # handle 10
}
}
</nowiki>}}

指定位置の前にルールを挿入するには:

# nft insert rule ''family_type'' ''table_name'' ''chain_name'' handle ''handle_value'' ''statement''

{{ic|''handle_value''}} が指定されていない場合、ルールはチェインの先頭に挿入されます。

===== 表現 =====

{{ic|''statement''}} にはマッチする表現と判断宣言が入ります。判断宣言には {{ic|accept}}, {{ic|drop}}, {{ic|queue}}, {{ic|continue}}, {{ic|return}}, {{ic|jump ''chain''}}, {{ic|goto ''chain''}} などが存在します。判断宣言以外の宣言も指定できます。詳しくは {{man|8|nft}} を参照してください。

nftables では様々な表現を使うことができ、ほとんどは、iptables と対応するようになっています。一番大きな違いは汎用的なマッチと暗黙的なマッチが存在しないことです。汎用的なマッチとは、{{ic|--protocol}} や {{ic|--source}} のように、いつでも使うことができるマッチで、暗黙的なマッチとは、{{ic|--sport}} のように、特定のプロトコルでしか使えないマッチのことです。

以下は利用できるマッチの一部です:

* meta (メタプロパティ。例: インターフェイス)
* icmp (ICMP プロトコル)
* icmpv6 (ICMPv6 プロトコル)
* ip (IP プロトコル)
* ip6 (IPv6 プロトコル)
* tcp (TCP プロトコル)
* udp (UDP プロトコル)
* sctp (SCTP プロトコル)
* ct (接続のトラッキング)

以下はマッチ引数の一部です (完全なリストは {{man|8|nft}} を見て下さい):
<nowiki>
meta:
oif <output interface INDEX>
iif <input interface INDEX>
oifname <output interface NAME>
iifname <input interface NAME>

(oif and iif accept string arguments and are converted to interface indexes)
(oifname and iifname are more dynamic, but slower because of string matching)

icmp:
type <icmp type>

icmpv6:
type <icmpv6 type>

ip:
protocol <protocol>
daddr <destination address>
saddr <source address>

ip6:
daddr <destination address>
saddr <source address>

tcp:
dport <destination port>
sport <source port>

udp:
dport <destination port>
sport <source port>

sctp:
dport <destination port>
sport <source port>

ct:
state <new | established | related | invalid></nowiki>

ある意味では、iif と oif に対する iifname と oifname の違いは、static と dynamic の違いに似ています。または、プログラミング概念でいう definition と declaration、あるいは early binding と delayed binding に似ています。使用例と追加説明へのリンクについては [https://serverfault.com/questions/1059391/nftables-error-interface-does-not-exist-after-reboot] を参照してください。

==== ルールの一覧表示 ====

次のコマンドはチェイン内のすべてのルールを一覧表示します:

# nft list chain ''family_type'' ''table_name'' ''chain_name''

例えば、{{ic|my_table}} という {{ic|inet}} テーブル内の {{ic|my_output}} というチェインのルールを一覧表示するには:

# nft list chain inet my_table my_output

====削除====

個々のルールはハンドルを使わないと削除することができません。{{ic|nft --handle list}} コマンドを使うことでルールのハンドルを確認できます。例えば次のような場合:

{{hc|# nft --handle --numeric list chain inet my_table my_input|2=<nowiki>
table inet my_table {
chain input {
type filter hook input priority 0;
ip saddr 127.0.0.1 accept # handle 10
}
}
</nowiki>}}

次のコマンドで削除できます:

# nft delete rule inet my_table my_input handle 10

テーブル内のすべてのチェインは {{ic|nft flush table}} コマンドでフラッシュできます。個別のチェインは {{ic|nft flush chain}} または {{ic|nft delete rule}} コマンドでフラッシュできます。

# nft flush table ''table_name''
# nft flush chain ''family_type'' ''table_name'' ''chain_name''
# nft delete rule ''family_type'' ''table_name'' ''chain_name''

最初のコマンドは、ip {{ic|''table_name''}} テーブル内のすべてのチェインをフラッシュします。2 番目のコマンドは、{{ic|''family_type''}} {{ic|''table_name''}} テーブル内の {{ic|''chain_name''}} チェインをフラッシュします。3 番目のコマンドは、{{ic|''family_type''}} {{ic|''table_name''}} テーブル内の {{ic|''chain_name''}} チェインのすべてのルールを削除します。

=== セット ===

[https://wiki.nftables.org/wiki-nftables/index.php/Sets セットには名前付きセットと匿名セットがあります]。セットは 1 つ以上の要素で構成され、要素はカンマで区切られ、波括弧で囲まれます。匿名セットはルールに埋め込まれ、更新できません。ルールを削除して再追加する必要があります。例えば、次の dports セットから "http" だけを削除することはできません:

# nft add rule ip6 filter input tcp dport {telnet, http, https} accept

名前付きセットは更新でき、型付けやフラグ付けが可能です。''sshguard'' は、ブロックされたホストの IP アドレスに名前付きセットを使用します。

table ip sshguard {
set attackers {
type ipv4_addr
flags interval
elements = { 1.2.3.4 }
}

セットに要素を''追加''または''削除''するには、次のようにします:

# nft add element ip sshguard attackers { 5.6.7.8/32 }
# nft delete element ip sshguard attackers { 1.2.3.4/32 }

''ipv4_addr'' 型には CIDR netmask を含められることに注意してください (ここでの {{ic|/32}} は必須ではありませんが、完全性のために含めています)。また、ここで {{ic|TABLE ip sshguard { SET attackers }<nowiki/>}} によって定義されたセットは、{{ic|ip sshguard attackers}} として参照されることにも注意してください。

{{Tip|[[systemd-networkd]] 接続は、事前定義された名前付きセットにホスト IP アドレス、ネットワークプレフィックス、インターフェイスインデックスを投入するように設定できます。詳しくは {{man|5|systemd.network|[ADDRESS] SECTION OPTIONS}} の {{ic|NFTSet{{=}}}} の説明と [[#systemd-networkd を使った動的名前付きセット]] の例を参照してください。}}

===アトミックリロード===

現在のルールセットをフラッシュする:

# echo "flush ruleset" > /tmp/nftables

現在のルールセットをダンプする:

# nft list ruleset >> /tmp/nftables

{{ic|/tmp/nftables}} を編集して次のコマンドで変更を適用:

# nft -f /tmp/nftables

== サンプル ==

=== ワークステーション ===

{{hc|/etc/nftables.conf|2=<nowiki>
flush ruleset

table inet my_table {
set LANv4 {
type ipv4_addr
flags interval

elements = { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 169.254.0.0/16 }
}
set LANv6 {
type ipv6_addr
flags interval

elements = { fd00::/8, fe80::/10 }
}

chain my_input_lan {
udp sport 1900 udp dport >= 1024 meta pkttype unicast limit rate 4/second burst 20 packets accept comment "Accept UPnP IGD port mapping reply"

udp sport netbios-ns udp dport >= 1024 meta pkttype unicast accept comment "Accept Samba Workgroup browsing replies"

}

chain my_input {
type filter hook input priority filter; policy drop;

iif lo accept comment "Accept any localhost traffic"
ct state invalid drop comment "Drop invalid connections"
fib daddr . iif type != { local, broadcast, multicast } drop comment "Drop packets if the destination IP address is not configured on the incoming interface (strong host model)"
ct state { established, related } accept comment "Accept traffic originated from us"

meta l4proto { icmp, ipv6-icmp } accept comment "Accept ICMP"
ip protocol igmp accept comment "Accept IGMP"

udp dport mdns ip6 daddr ff02::fb accept comment "Accept mDNS"
udp dport mdns ip daddr 224.0.0.251 accept comment "Accept mDNS"

ip6 saddr @LANv6 jump my_input_lan comment "Connections from private IP address ranges"
ip saddr @LANv4 jump my_input_lan comment "Connections from private IP address ranges"

counter comment "Count any other traffic"
}

chain my_forward {
type filter hook forward priority filter; policy drop;
# Drop everything forwarded to us. We do not forward. That is routers job.
}

chain my_output {
type filter hook output priority filter; policy accept;
# Accept every outbound connection
}

}
</nowiki>}}

{{Tip|[[systemd-networkd]] を使用していてローカルネットワークに接続している場合、{{man|5|systemd.network}} オプション {{ic|NFTSet{{=}}}} を使って接続のネットワークプレフィックスを取得することで、ネットワークサブネットのハードコーディングを避けられます。[[#systemd-networkd を使った動的名前付きセット]] を参照してください。}}

=== サーバー ===

{{hc|/etc/nftables.conf|2=<nowiki>
flush ruleset

table inet my_table {
set LANv4 {
type ipv4_addr
flags interval

elements = { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 169.254.0.0/16 }
}
set LANv6 {
type ipv6_addr
flags interval

elements = { fd00::/8, fe80::/10 }
}

chain my_input_lan {
meta l4proto { tcp, udp } th dport 2049 accept comment "Accept NFS"

udp dport netbios-ns accept comment "Accept NetBIOS Name Service (nmbd)"
udp dport netbios-dgm accept comment "Accept NetBIOS Datagram Service (nmbd)"
tcp dport netbios-ssn accept comment "Accept NetBIOS Session Service (smbd)"
tcp dport microsoft-ds accept comment "Accept Microsoft Directory Service (smbd)"

udp sport { bootpc, 4011 } udp dport { bootps, 4011 } accept comment "Accept PXE"
udp dport tftp accept comment "Accept TFTP"
}

chain my_input {
type filter hook input priority filter; policy drop;

iif lo accept comment "Accept any localhost traffic"
ct state invalid drop comment "Drop invalid connections"
fib daddr . iif type != { local, broadcast, multicast } drop comment "Drop packets if the destination IP address is not configured on the incoming interface (strong host model)"
ct state { established, related } accept comment "Accept traffic originated from us"

meta l4proto { icmp, ipv6-icmp } accept comment "Accept ICMP"
ip protocol igmp accept comment "Accept IGMP"

udp dport mdns ip6 daddr ff02::fb accept comment "Accept mDNS"
udp dport mdns ip daddr 224.0.0.251 accept comment "Accept mDNS"

ip6 saddr @LANv6 jump my_input_lan comment "Connections from private IP address ranges"
ip saddr @LANv4 jump my_input_lan comment "Connections from private IP address ranges"

tcp dport ssh accept comment "Accept SSH on port 22"

tcp dport ipp accept comment "Accept IPP/IPPS on port 631"

meta l4proto { tcp, udp } th dport { http, https, 8008, 8080 } accept comment "Accept HTTP (ports 80, 443, 8008, 8080)"

udp sport bootpc udp dport bootps ip saddr 0.0.0.0 ip daddr 255.255.255.255 accept comment "Accept DHCPDISCOVER (for DHCP-Proxy)"
}

chain my_forward {
type filter hook forward priority filter; policy drop;
# Drop everything forwarded to us. We do not forward. That is routers job.
}

chain my_output {
type filter hook output priority filter; policy accept;
# Accept every outbound connection
}

}
</nowiki>}}

=== レート制限 ===

{{bc|1=<nowiki>
table inet my_table {
chain my_input {
type filter hook input priority filter; policy drop;

iif lo accept comment "Accept any localhost traffic"
ct state invalid drop comment "Drop invalid connections"
fib daddr . iif type != { local, broadcast, multicast } drop comment "Drop packets if the destination IP address is not configured on the incoming interface (strong host model)"

meta l4proto icmp icmp type echo-request limit rate over 10/second burst 4 packets drop comment "No ping floods"
meta l4proto ipv6-icmp icmpv6 type echo-request limit rate over 10/second burst 4 packets drop comment "No ping floods"

ct state { established, related } accept comment "Accept traffic originated from us"

meta l4proto { icmp, ipv6-icmp } accept comment "Accept ICMP"
ip protocol igmp accept comment "Accept IGMP"

tcp dport ssh ct state new limit rate 15/minute accept comment "Avoid brute force on SSH"

}

}
</nowiki>}}

===ジャンプ===

設定ファイルでジャンプを使うときは、先にターゲットチェインを定義する必要があります。そうしないと {{ic|Error: Could not process rule: No such file or directory}} というエラーが発生します。

{{bc|1=<nowiki>
table inet my_table {
chain web {
tcp dport http accept
tcp dport 8080 accept
}
chain my_input {
type filter hook input priority filter;
ip saddr 10.0.2.0/24 jump web
drop
}
}
</nowiki>}}

=== インターフェイスによってルールを変える ===

複数のネットワークインターフェイスが存在する場合、それぞれのインターフェイスごとに別々のフィルターチェインを設定したい場合があるかもしれません。例えば、ホームルーターを構築するとき、LAN 上でアクセスできるウェブサーバーを実行しつつ ({{ic|nsp3s0}} インターフェイス)、インターネットからはアクセスできないようにしたい場合 ({{ic|enp2s0}} インターフェイス) などは以下のように設定します:

{{bc|<nowiki>
table inet my_table {
chain my_input { # this chain serves as a dispatcher
type filter hook input priority filter; policy drop;

iif lo accept comment "always accept loopback"
iifname enp2s0 jump my_input_public
iifname enp3s0 jump my_input_private
}
chain my_input_public { # rules applicable to public interface interface
ct state {established,related} accept
ct state invalid drop
udp dport bootpc accept
tcp dport bootpc accept
}
chain my_input_private {
ct state {established,related} accept
ct state invalid drop
udp dport bootpc accept
tcp dport bootpc accept
tcp port http accept
tcp port https accept
reject with icmpx port-unreachable comment "all other traffic"
}
chain my_output { # we let everything out
type filter hook output priority filter;
accept
}
}
</nowiki>}}

あるいは、単一の upstream interface に対する {{ic|iifname}} statement だけを選び、それ以外のすべてのインターフェイスに対するデフォルトルールを 1 か所に置くこともできます。各インターフェイスごとに dispatch する必要はありません。

=== マスカレード ===

nftables には特殊なキーワード {{ic|masquerade}} が存在し、送信元アドレスが自動的に出力インターフェイスのアドレスに設定されます ([http://wiki.nftables.org/wiki-nftables/index.php/Performing_Network_Address_Translation_%28NAT%29#Masquerading ソース])。ルーターのインターフェイスが多数の ISP に接続されているときなど、インターフェイスの IP アドレスが一定でない場合に有用です。通常は、インターフェイスの IP アドレスが変わるたびにネットワークアドレス変換 (NAT) のルールを更新する必要があります。

{{ic|masquerade}} を使用するには:

* masquerading がカーネルで有効になっていることを確認してください (デフォルトカーネルを使用している場合は true です)。そうでない場合は、カーネル設定で {{ic|1=CONFIG_NFT_MASQ=m}} を設定します。
* {{ic|masquerade}} キーワードは {{ic|nat}} type のチェインでのみ使用できます。
* masquerading は source NAT の一種であるため、output path でのみ動作します。

2 つのインターフェイスを持つマシンの例です: LAN は {{ic|enp3s0}} に接続され、public internet は {{ic|enp2s0}} に接続されています:

{{bc|<nowiki>
table inet my_nat {
chain my_masquerade {
type nat hook postrouting priority srcnat;
oifname "enp2s0" masquerade
}
}
</nowiki>}}

テーブル type が {{ic|inet}} なので、IPv4 と IPv6 の両方のパケットが masquerade されます。IPv6 は追加の address space により NAT が不要なため、IPv4 パケットだけを masquerade したい場合は、{{ic|meta nfproto ipv4}} expression を {{ic|oifname "enp2s0"}} の前に使用するか、テーブル type を {{ic|ip}} に変更します。

=== NAT とポートフォワーディング ===

この例では、eth0 という WAN インターフェイスを通って出ていくトラフィックを masquerade し、ポート 22 と 80 を {{ic|10.0.0.2}} に転送します。[[sysctl]] によって {{ic|net.ipv4.ip_forward}} を {{ic|1}} に設定する必要があります。

{{bc|
table nat {
chain prerouting {
type nat hook prerouting priority dstnat;
iif eth0 tcp dport {22, 80} dnat to 10.0.0.2
}
chain postrouting {
type nat hook postrouting priority srcnat;
oif eth0 masquerade
}
}
}}

=== IP ごとの新規接続数をカウント ===

HTTPS 接続をカウントするには、次のスニペットを使用します:

{{hc|/etc/nftables.conf|
table inet filter {
set https {
type ipv4_addr;
flags dynamic;
size 65536;
timeout 60m;
}

chain input {
type filter hook input priority filter;
ct state new meta l4proto { tcp, udp } th dport 443 update @https { ip saddr counter }
}
}
}}

カウンターを表示するには、{{ic|nft list set inet filter https}} を実行してください。

=== 動的 blackhole ===

このスニペットは、10/second の制限を超えた source IP (または /64 IPv6 range) からのすべての HTTPS 接続を 1 分間 drop します。

{{hc|/etc/nftables.conf|
table inet dev {
set blackhole_ipv4 {
type ipv4_addr;
flags dynamic, timeout;
size 65536;
}
set blackhole_ipv6 {
type ipv6_addr;
flags dynamic, timeout;
size 65536;
}

chain input {
type filter hook input priority filter; policy accept;
ct state new meta l4proto { tcp, udp } th dport 443 \
meter flood_ipv4 size 128000 { ip saddr timeout 10s limit rate over 10/second } \
add @blackhole_ipv4 { ip saddr timeout 1m }
ct state new meta l4proto { tcp, udp } th dport 443 \
meter flood_ipv6 size 128000 { ip6 saddr and ffff:ffff:ffff:ffff:: timeout 10s limit rate over 10/second } \
add @blackhole_ipv6 { ip6 saddr and ffff:ffff:ffff:ffff:: timeout 1m }

ip saddr @blackhole_ipv4 counter drop
ip6 saddr and ffff:ffff:ffff:ffff:: @blackhole_ipv6 counter drop
}
}
}}

blackhole された IP を表示するには、{{ic|nft list set inet dev blackhole_ipv''X''}} を実行してください。

== ヒントとテクニック ==

=== 現在の rule set の保存 ===

{{ic|nft list ruleset}} コマンドの出力は、そのまま有効な入力ファイルとしても使用できます。現在の rule set をファイルに保存し、後で読み戻すことができます。

# nft -s list ruleset | tee ''filename''

{{Note|元のファイルで変数定義を使っていた場合でも、{{ic|nft list}} は変数定義を出力しません。変数は失われます。ルール内で使われていた変数は、その値に置き換えられます。}}

=== シンプルなステートフルファイアウォール ===

[[シンプルなステートフルファイアウォール]]の記事も参照してください。

==== シングルマシン ====

現在のルールセットを消去:

# nft flush ruleset

テーブルを追加:

# nft add table inet filter

input, forward, output ベースチェインを追加。input と forward のポリシーは破棄にして、output のポリシーは許可にする:

# nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }
# nft add chain inet filter forward { type filter hook forward priority 0 \; policy drop \; }
# nft add chain inet filter output { type filter hook output priority 0 \; policy accept \; }

レギュラーチェインを追加して tcp と udp に関連付ける:

# nft add chain inet filter TCP
# nft add chain inet filter UDP

関連・確立済みトラフィックは許可する:

# nft add rule inet filter input ct state related,established accept

ループバックインターフェイスのトラフィックは全て許可する:

# nft add rule inet filter input iif lo accept

不正なトラフィックは全て破棄する:

# nft add rule inet filter input ct state invalid drop

新しいエコー要求 (ping) は許可する:

# nft add rule inet filter input ip protocol icmp icmp type echo-request ct state new accept

新しい udp トラフィックは UDP チェインにジャンプする:

# nft add rule inet filter input ip protocol udp ct state new jump UDP

新しい tcp トラフィックは TCP チェインにジャンプする:

# nft add rule inet filter input ip protocol tcp tcp flags \& $fin\|syn\|rst\|ack$ == syn ct state new jump TCP

他のルールによって処理されなかったトラフィックは全て拒否する:

# nft add rule inet filter input ip protocol udp reject
# nft add rule inet filter input ip protocol tcp reject with tcp reset
# nft add rule inet filter input counter reject with icmp type prot-unreachable

ここから TCP と UDP チェインで処理する接続で開きたいポートを決めます。例えばウェブサーバーの接続を開くには:

# nft add rule inet filter TCP tcp dport 80 accept

ポート 443 からのウェブサーバーの HTTPS 接続を許可するには:

# nft add rule inet filter TCP tcp dport 443 accept

ポート 22 の SSH 接続を許可するには:

# nft add rule inet filter TCP tcp dport 22 accept

DNS リクエストを許可するには:

# nft add rule inet filter TCP tcp dport 53 accept
# nft add rule inet filter UDP tcp dport 53 accept

設定に満足したら変更を保存して永続化させてください。

=== ブルートフォース攻撃の対策 ===

[[Sshguard]] はブルートフォース攻撃を検出して一時的に IP アドレスに基づきブロックするようにファイアウォールを編集します。Sshguard で nftables を使うように設定する方法は [[Sshguard#nftables]] を見てください。

=== トラフィックのログ記録 ===

{{ic|log}} action を使ってパケットをログに記録できます。すべての受信 traffic をログに記録する最も単純なルールは次のとおりです:

# nft add rule inet filter input log

詳しくは [https://wiki.nftables.org/wiki-nftables/index.php/Logging_traffic nftables wiki] を参照してください。

=== Monitor ===

すべてのイベントを監視し、native nft format で報告します。

# nft monitor

{{man|8|nft|MONITOR}} を参照してください。

==== ruleset debugging trace temporary ====

'''meta nftrace set 1''' は ruleset packet tracing を on/off します。trace を見るには [[#Monitor|monitor trace]] コマンドを使用します。

別の shell で、interactive shell 内にファイルを "include" します:

# nft -i
nft> include "/root/nftables.trace"

必要に応じて調整した例です:

{{hc|/root/nftables.trace|
add table ip temp-trace {comment "Temporary table!!"; flags owner;}
add chain ip temp-trace icmp-prerouting { type filter hook prerouting priority raw - 1 ; }
add rule ip temp-trace icmp-prerouting ''ip protocol icmp'' '''meta nftrace set 1'''
}}

このファイルは一時テーブル (''flags owner'') を追加します。そのため、呼び出し元の interactive nft プロセスが閉じられると自動的に削除されます。Base Chain は用途に応じて調整する必要があります。複数のチェインや複数の "meta nftrace set 1" ルールを作成できます。"ip protocol icmp" は単なる例であり、必須ではありません。同様の効果を得る方法は多数あります。この方法の利点は、interactive shell を閉じることで以前の状態が自動的に復元されることと、ファイル内にエラーがある場合に何も実行されないことです。

詳しくは [https://wiki.nftables.org/wiki-nftables/index.php/Ruleset_debug/tracing nftables wiki] と、その処理を自動化して色付けする [https://github.com/aborrero/nftables-tracer python tool] を参照してください。

=== iptables-nft の使用 ===

{{Accuracy|nftables は legacy iptables object が読み込まれている場合に警告するため、legacy iptables と nftables を同時に使うことが「完全に問題なく動作する」とは言えません。}}

古い iptables 言語は Linux ドキュメントでは依然としてかなり支配的であり、Docker のネットワークなど、iptables に依存して動作するものも少なくありません。legacy iptables と nftables を同時に使うことも可能ではありますが、iptables-nft の変換を使うことが推奨されます。理由は次のとおりです:

* すべてを新しく、より効率的で、ロックを必要としないフレームワークの同じ場所に配置します。
* 競合をチェックします。

nftables で古い iptables 言語を使用する方法は 2 つあります:

* {{ic|iptables-translate}} と {{ic|iptables-restore-translate}} ({{ic|ip6tables}}、{{ic|ebtables}} なども同様) は、iptables 言語を受け取り nft 言語を出力します。実行中の nft 設定は変更しません。{{man|8|xtables-translate}} を参照してください。
: 後で保守したい設定については、{{ic|-translate}} ツールを使い、その結果のコードを既存のルールに統合するのがよいでしょう。例えば、[[シンプルなステートフルファイアウォール]]やインターネット上で便利なものを見つけた場合、それらを nft 設定に入れられるように変換できます。
* {{ic|iptables}} と {{ic|iptables-restore}} ({{ic|ip6tables}} なども同様) は上記の変換を使い、さらに実行中の nft 設定に反映します。通常の iptables と同じように統計情報も提供します。{{man|8|xtables-nft}} を参照してください。
: これらのコマンドは、やるべきことを考えれば十分にうまく動作します。単純な使い方では「そのまま動く」はずですが、ときどき手動でのデバッグが必要になることがあります。

{{Note|translator は iptables 言語の大部分をカバーしていますが、すべてではありません。一部の iptables ルールは組み合わせて動作し、translator が正しく変換するには文脈が必要です。そのため、変換結果が空になる行があっても慌てないでください。}}

=== systemd-networkd を使った動的名前付きセット ===

[[systemd-networkd]] の接続は、{{ic|NFTSet{{=}}}} オプションを使用して、事前定義された名前付きセットにホスト IP アドレス、ネットワークプレフィックス、インターフェイスインデックスを投入できます。これにより、{{ic|/etc/nftables.conf}} にそれらをハードコーディングすることを避けられます。{{ic|NFTSet{{=}}}} オプションは、{{ic|[Address]}}、{{ic|[DHCPv4]}}、{{ic|[DHCPv6]}}、{{ic|[IPv6AcceptRA]}} セクションでサポートされています。{{man|5|systemd.network|[ADDRESS] SECTION OPTIONS}} を参照してください。

例えば、ローカルネットワークからの接続 (IP アドレスが DHCP または SLAAC で割り当てられる場合) を別の {{ic|my_input_lan}} チェインで処理するには:

{{hc|/etc/nftables.conf|2=
...
table inet my_table {

set eth_ipv4_prefix {
type ipv4_addr
flags interval
comment "Populated by systemd-networkd"
}
set eth_ipv6_prefix {
type ipv6_addr
flags interval
comment "Populated by systemd-networkd"

elements = { fe80::/10 }
}
set eth_ifindex {
type iface_index
comment "Populated by systemd-networkd"
}
...
chain my_input {
type filter hook input priority filter; policy drop;

iif @eth_ifindex ip6 saddr @eth_ipv6_prefix jump my_input_lan comment "Connections from LAN"
iif @eth_ifindex ip saddr @eth_ipv4_prefix jump my_input_lan comment "Connections from LAN"
}
...
}
}}

{{hc|/etc/systemd/network/my-network.network|2=
...

[DHCPv4]
NFTSet=prefix:inet:my_table:eth_ipv4_prefix
NFTSet=ifindex:inet:my_table:eth_ifindex

[DHCPv6]
NFTSet=prefix:inet:my_table:eth_ipv6_prefix
NFTSet=ifindex:inet:my_table:eth_ifindex

[IPv6AcceptRA]
NFTSet=prefix:inet:my_table:eth_ipv6_prefix
NFTSet=ifindex:inet:my_table:eth_ifindex
...
}}

== トラブルシューティング ==

=== Docker と共に使う ===

{{Note|
* 次のセットアップでは、{{ic|--net host --privileged}} を使用してもコンテナ内で {{ic|AF_BLUETOOTH}} などのプロトコルを利用できなくなります。
* ルートレス Dockerコンテナはすでに別のネットワーク名前空間で実行されています。何もする必要がないかもしれません。
}}

nftables を使用すると、[[Docker]] のネットワーク (おそらく他のコンテナランタイムも同様) に干渉する可能性があります。
iptables ルールにパッチを適用して定義されたサービス開始順序を確保するか、docker の使用が非常に制限される dockerのiptablesの管理を完全に無効にするなど、さまざまな回避策がインターネット上で見つかります。
(ポートフォワーディングや docker-compose を考えてください)

信頼できる方法は、docker を別のネットワーク名前空間で実行させ、そこで任意の処理を実行できるようにすることです。
Docker が nftables と iptables ルールを混在させないように、{{Pkg|iptables-nft}} を'''使用しない'''方が良いでしょう。

以下の docker サービス [[ドロップインファイル]] を使用してください:

{{hc|/etc/systemd/system/docker.service.d/netns.conf|2=
[Service]
PrivateNetwork=yes
PrivateMounts=No

# cleanup
ExecStartPre=-nsenter -t 1 -n -- ip link delete docker0

# add veth
ExecStartPre=nsenter -t 1 -n -- ip link add docker0 type veth peer name docker0_ns
ExecStartPre=sh -c 'nsenter -t 1 -n -- ip link set docker0_ns netns "$$BASHPID" && true'
ExecStartPre=ip link set docker0_ns name eth0

# bring host online
ExecStartPre=nsenter -t 1 -n -- ip addr add 10.0.0.1/24 dev docker0
ExecStartPre=nsenter -t 1 -n -- ip link set docker0 up

# bring ns online
ExecStartPre=ip addr add 10.0.0.100/24 dev eth0
ExecStartPre=ip link set eth0 up
ExecStartPre=ip route add default via 10.0.0.1 dev eth0
}}

セットアップにおいてIPアドレス {{ic|10.0.0.*}} が適切でない場合は、調整してください。

以下のポストルーティングルールで、{{ic|docker0}} のIPフォワーディングを有効にし、NATを設定します:

iifname docker0 oifname eth0 masquerade

次に、[[インターネット共有#パケット転送の有効化|kernel IP forwarding]] が有効になっていることを確認します。

これで、nftables を使用して {{ic|docker0}} インターフェイスのファイアウォールとポートフォワーディングを干渉することなくセットアップできるようになります。

==参照==
* [https://wiki.nftables.org/ netfilter nftables wiki]
* [[debian:nftables]]
* [[gentoo:nftables]]
* [https://lwn.net/Articles/324251/ First release of nftables]
* [https://home.regit.org/netfilter-en/nftables-quick-howto/ nftables quick howto]
* [https://lwn.net/Articles/564095/ The return of nftables]
* [https://developers.redhat.com/blog/2016/10/28/what-comes-after-iptables-its-successor-of-course/ What comes after ‘iptables’? Its successor, of course: `nftables`]
* [https://github.com/gene-git/blog/tree/master/nftables Gene's Tech Blog] – ワークステーションおよびファイアウォール向けの追加 nftables サンプル

Nftables

2026-05-27T04:14:17Z

Kusanaginoturugi: /* ヒントとテクニック */ 記事を更新

{{DISPLAYTITLE:nftables}}
[[Category:ファイアウォール]]
[[en:nftables]]
{{Related articles start}}
{{Related|iptables}}
{{Related|Firewalld}}
{{Related articles end}}
[https://netfilter.org/projects/nftables/ nftables] は既存の ip-, ip6-, arp-, ebtables フレームワークを置き換える [[Wikipedia:Netfilter|Netfilter]] のプロジェクトです。新しいパケットフィルタリングフレームワーク、新しいユーザースペースユーティリティ (nft)、そして ip- と ip6tables の互換レイヤーを提供します。現行のフック、接続追跡システム、ユーザースペースのキューイングコンポーネント、そして netfilter のログサブシステムを使っています。

nftables は3つのメインコンポーネントから構成されています: カーネルの実装、libnl netlink communication そして nftables ユーザースペースフロントエンド。カーネルは netlink の設定インターフェイスだけでなく、小さなクラス言語インタプリタを使用するランタイムのルールセットの評価も提供します。libnl にはカーネルと通信するためのローレベルな関数が含まれています。nftables フロントエンドはユーザーが対話するものです。

[https://wiki.nftables.org/wiki-nftables/index.php/Main_Page nftables の公式 wiki] には詳しい情報が載っています。

== インストール ==

ユーザースペースユーティリティパッケージ {{Pkg|nftables}} を[[インストール]]してください。

{{Pkg|iptables-legacy}} がインストールされている場合は、{{Pkg|iptables}} をインストールしてください。これにより {{Pkg|iptables-legacy}} が自動的にアンインストールされ、{{Pkg|nftables}} との競合を防ぎます。

{{Note|{{Pkg|iptables}} パッケージは、実際には nftables ルールを作成し操作する {{ic|iptables}} コマンドの実装を提供します。ただし、古い {{Pkg|iptables-legacy}} ツールで作成されたルールは別のオブジェクトであり、それらが存在する場合、''iptables'' は警告を表示します。}}

=== フロントエンド ===

{{Tip|ほとんどの [[iptables#Front-ends|iptables フロントエンド]]は nftables を直接または間接的にサポートしていませんが、将来的に対応する可能性があります。[https://www.spinics.net/lists/netfilter/msg58215.html] nftables と iptables の両方をサポートするグラフィカルフロントエンドの 1 つは [[firewalld]] です。[https://firewalld.org/2018/07/nftables-backend] [[ufw]] は互換レイヤー ''iptables-nft'' を介してサポートされています。[https://bugs.launchpad.net/ufw/+bug/1880453]}}

* {{App|[[firewalld]] (firewall-cmd)|ネットワークとファイアウォールゾーンの設定、およびファイアウォールルールの設定と構成を行うデーモンおよびコンソールインターフェイス。|https://firewalld.org/|{{Pkg|firewalld}}}}
* {{App|nft-blackhole|国別およびブラックリストによって nftables で IP をブロックするスクリプト / デーモン。|https://github.com/tomasz-c/nft-blackhole|{{AUR|nft-blackhole}}}}
* {{App|[[ufw]]|Ufw は Uncomplicated Firewall の略で、netfilter ファイアウォールを管理するためのプログラムです。|https://help.ubuntu.com/community/UFW|{{Pkg|ufw}}}}
* {{App|reaction|プログラムの出力から繰り返し出現するパターンをスキャンし、アクションを実行するデーモン。fail2ban の軽量な代替です。|https://framagit.org/ppom/reaction|{{AUR|reaction}}}}

== 使用方法 ==

{{Tip|すでに iptables ルールがある場合は、その iptables ルールを nftables ルールに変換できます。詳しくは [https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_to_nftables] を参照してください。}}

'''nftables''' は、コマンドラインで作成された一時的なルールと、ファイルから読み込まれた、またはファイルに保存された永続的なルールを'''区別しません'''。

すべてのルールは {{ic|nft}} コマンドラインユーティリティを使って作成または読み込む必要があります。

使用方法については [[#設定]] セクションを参照してください。

現在の ruleset は次のコマンドで表示できます:

# nft list ruleset

すべての ruleset を削除し、システムにファイアウォールがない状態にします:

# nft flush ruleset

{{ic|nftables.service}} を[[再起動]]することで、{{ic|/etc/nftables.conf}} から ruleset を読み込みます。

=== シンプルなファイアウォール ===

{{Pkg|nftables}} には、{{ic|/etc/nftables.conf}} ファイルに保存されたシンプルで安全なファイアウォール設定が付属しています。

{{ic|nftables.service}} は、[[起動/有効化]]されたときに、そのファイルからルールを読み込みます。

== 設定 ==

nftables ユーザースペースユーティリティ {{ic|nft}} は、ruleset をカーネルに渡す前に、ルールセット評価の大部分を実行します。ルールはチェインに格納され、チェインはテーブルに格納されます。以下のセクションでは、これらの構造を作成および変更する方法を示します。

ファイルから入力を読み込むには、{{ic|-f}}/{{ic|--file}} オプションを使用します:

# nft --file ''filename''

既に読み込まれているルールは'''自動的には'''フラッシュされないことに注意してください。

すべてのコマンドの完全な一覧については {{man|8|nft}} を参照してください。

===テーブル===

テーブルは[[#チェイン|チェイン]]を保持します。iptables のテーブルと違って、nftables には初めから組み込まれているテーブルはありません。テーブルの数や名前はユーザーが自由に決めることができますが、各テーブルにはアドレスファミリーをひとつしか保持することができません。5つのファミリーのうち指定したファミリーのパケットにだけ適用されます:

{| class="wikitable"
! nftables ファミリー || iptables ユーティリティ
|-
| ip || iptables
|-
| ip6 || ip6tables
|-
| inet || iptables と ip6tables
|-
| arp || arptables
|-
| bridge || ebtables
|}

{{ic|ip}} (IPv4) がデフォルトのファミリーです。特に指定がなければ {{ic|ip}} が使われます。

IPv4 と IPv6 の両方に適用されるルールを作成するには {{ic|inet}} を使います。{{ic|inet}} を使うには Linux 3.15 以上が必要で、{{ic|ip}} と {{ic|ip6}} ファミリーを統一してルールを簡単に定義できます。

{{Note|{{ic|inet}} は {{ic|nat}} タイプのチェインでは使えず、{{ic|filter}} タイプのチェインを使う必要があります ([https://www.spinics.net/lists/netfilter/msg56411.html ソース])。}}

アドレスフファミリーの完全な定義は {{man|8|nft}} の {{ic|ADDRESS FAMILIES}} セクションを参照してください。

以下で例示しているコマンドの {{ic|''family''}} は全て任意であり、指定しなかった場合は {{ic|ip}} が使われます。

==== テーブルの作成 ====

以下のコマンドで新しいテーブルが追加されます:

# nft add table ''family'' ''table''

==== テーブルの一覧表示 ====

全てのテーブルを表示するには:

# nft list tables

==== テーブル内のチェインとルールの表示 ====

指定したテーブルの全てのチェインとルールを表示するには:

# nft list table ''family_type'' ''table_name''

例えば、{{ic|inet}} family の {{ic|my_table}} テーブルのすべてのルールを一覧表示するには:

# nft list table inet my_table

==== テーブルの削除 ====

テーブルを削除するには:

# nft delete table ''family_type'' ''table_name''

これにより、テーブル内のすべてのチェインが破棄されます。

==== テーブルのクリア ====

テーブルから全てのルールを消去するには:

# nft flush table ''family_type'' ''table_name''

===チェイン===

チェインの用途は[[#ルール|ルール]]を保持することです。iptables のチェインと違って、nftables には初めから組み込まれているチェインはありません。そのためチェインが netfilter フレームワークにあるタイプやフックをどれも使わない場合、iptables とは異なりチェインを通り抜けるパケットは nftables の影響を受けません。

チェインには2つのタイプがあります。''base'' チェインはネットワークスタックからのパケットのエントリポイントとなります。フックの値を指定することができます。''regular'' チェインはジャンプターゲットとして使用することができます。

以下のコマンドで使っている {{ic|''family_type''}} は全て任意であり、指定しなかった場合は {{ic|ip}} が使われます。

==== チェインの作成 ====

===== Base chain =====

base chain を追加するには、type、hook、priority の値を指定する必要があります:

# nft add chain ''family_type'' ''table_name'' ''chain_name'' '{ type ''chain_type'' hook ''hook_type'' priority ''priority_value'' ; policy ''policy'' ;}'

{{ic|''chain_type''}} には {{ic|filter}}、{{ic|route}}、{{ic|nat}} を指定できます。

IPv4/IPv6/Inet address family では、{{ic|''hook_type''}} に {{ic|prerouting}}、{{ic|input}}、{{ic|forward}}、{{ic|output}}、{{ic|postrouting}} を指定できます。サポートされる ''family_type''、''chain_type''、''hook_type'' の組み合わせ一覧については {{man|8|nft|CHAINS}} を参照してください。

{{ic|''priority_value''}} には priority 名または整数値を指定できます。標準 priority 名と値の一覧については {{man|8|nft|CHAINS}} を参照してください。数値が小さいチェインほど先に処理され、負の値も使用できます。[https://wiki.nftables.org/wiki-nftables/index.php/Configuring_chains#Base_chain_types]

任意で、base chain には {{ic|''policy''}} ({{ic|drop}} またはデフォルトの {{ic|accept}}) を指定できます。これにより、チェイン内のルールで明示的に accept または refuse されなかったパケットに何が起こるかを定義します。

例えば、入力パケットをフィルタリングする base chain を追加するには:

# nft add chain inet my_table my_chain '{ type filter hook input priority 0; }'

上記のいずれでも {{ic|add}} を {{ic|create}} に置き換えると、新しいチェインを追加しますが、チェインが既に存在する場合はエラーを返します。

===== Regular chain =====

次のコマンドは、{{ic|''table_name''}} という名前のテーブルに {{ic|''chain_name''}} という名前の regular chain を追加します:

# nft add chain ''family_type'' ''table_name'' ''chain_name''

例えば、{{ic|inet}} address family の {{ic|my_table}} テーブルに {{ic|my_tcp_chain}} という regular chain を追加するには:

# nft add chain inet my_table my_tcp_chain

==== チェインの一覧表示 ====

次のコマンドは、''family_type'' のすべてのチェインを、ルールなしで一覧表示します ([[#ルールの一覧表示]] を参照):

# nft list chains ''family_type''

例えば、次のコマンドは IPv6 のチェインを一覧表示します:

# nft list chains ip6

family_type を省略した場合、すべてのチェインが表示されます。

==== チェインの編集 ====

チェインを編集したいときは、チェインの名前を指定して変更したいルールを定義します:

# nft chain ''family_type table_name chain_name'' '{ [ type ''chain_type'' hook ''hook_type'' device ''device_name'' priority ''priority_value'' ; policy ''policy_type'' ; ] }'

例えば、デフォルトテーブル内の {{ic|my_input}} チェインの policy を {{ic|accept}} から {{ic|drop}} に変更するには:

# nft chain inet my_table my_input '{ policy drop ; }'

==== チェインの削除 ====

チェインを削除するには:

# nft delete chain ''family_type'' ''table_name'' ''chain_name''

削除するチェインにはルールやジャンプターゲットが含まれていてはいけません。

==== チェインのルールを消去 ====

チェインからルールを消去するには:

# nft flush chain ''family_type'' ''table_name'' ''chain_name''

=== ルール ===

ルールは表現または宣言から構成され、チェインの中に格納されます。

==== ルールの追加 ====

{{Tip|''iptables-translate'' ユーティリティを使うことで [[iptables]] のルールを nftables フォーマットに変換できます。}}

チェインにルールを追加するには:

# nft add rule ''family_type'' ''table_name'' ''chain_name'' handle ''handle_value'' ''statement''

ルールは {{ic|''handle_value''}} の位置に追加されます。これは任意です。指定しない場合、ルールはチェインの末尾に追加されます。

ルール handle を確認するには、任意の有効な list コマンドに {{ic|--handle}} スイッチを追加する必要があります。このスイッチにより、{{ic|nft}} は出力に handle を表示します。{{ic|--numeric}} 引数は、未解決の IP アドレスなど、一部の数値出力を確認するのに便利です。

{{hc|# nft --handle --numeric list chain inet my_table my_input|2=<nowiki>
table inet my_table {
chain input {
type filter hook input priority 0;
ip saddr 127.0.0.1 accept # handle 10
}
}
</nowiki>}}

指定位置の前にルールを挿入するには:

# nft insert rule ''family_type'' ''table_name'' ''chain_name'' handle ''handle_value'' ''statement''

{{ic|''handle_value''}} が指定されていない場合、ルールはチェインの先頭に挿入されます。

===== 表現 =====

{{ic|''statement''}} にはマッチする表現と判断宣言が入ります。判断宣言には {{ic|accept}}, {{ic|drop}}, {{ic|queue}}, {{ic|continue}}, {{ic|return}}, {{ic|jump ''chain''}}, {{ic|goto ''chain''}} などが存在します。判断宣言以外の宣言も指定できます。詳しくは {{man|8|nft}} を参照してください。

nftables では様々な表現を使うことができ、ほとんどは、iptables と対応するようになっています。一番大きな違いは汎用的なマッチと暗黙的なマッチが存在しないことです。汎用的なマッチとは、{{ic|--protocol}} や {{ic|--source}} のように、いつでも使うことができるマッチで、暗黙的なマッチとは、{{ic|--sport}} のように、特定のプロトコルでしか使えないマッチのことです。

以下は利用できるマッチの一部です:

* meta (メタプロパティ。例: インターフェイス)
* icmp (ICMP プロトコル)
* icmpv6 (ICMPv6 プロトコル)
* ip (IP プロトコル)
* ip6 (IPv6 プロトコル)
* tcp (TCP プロトコル)
* udp (UDP プロトコル)
* sctp (SCTP プロトコル)
* ct (接続のトラッキング)

以下はマッチ引数の一部です (完全なリストは {{man|8|nft}} を見て下さい):
<nowiki>
meta:
oif <output interface INDEX>
iif <input interface INDEX>
oifname <output interface NAME>
iifname <input interface NAME>

(oif and iif accept string arguments and are converted to interface indexes)
(oifname and iifname are more dynamic, but slower because of string matching)

icmp:
type <icmp type>

icmpv6:
type <icmpv6 type>

ip:
protocol <protocol>
daddr <destination address>
saddr <source address>

ip6:
daddr <destination address>
saddr <source address>

tcp:
dport <destination port>
sport <source port>

udp:
dport <destination port>
sport <source port>

sctp:
dport <destination port>
sport <source port>

ct:
state <new | established | related | invalid></nowiki>

ある意味では、iif と oif に対する iifname と oifname の違いは、static と dynamic の違いに似ています。または、プログラミング概念でいう definition と declaration、あるいは early binding と delayed binding に似ています。使用例と追加説明へのリンクについては [https://serverfault.com/questions/1059391/nftables-error-interface-does-not-exist-after-reboot] を参照してください。

==== ルールの一覧表示 ====

次のコマンドはチェイン内のすべてのルールを一覧表示します:

# nft list chain ''family_type'' ''table_name'' ''chain_name''

例えば、{{ic|my_table}} という {{ic|inet}} テーブル内の {{ic|my_output}} というチェインのルールを一覧表示するには:

# nft list chain inet my_table my_output

====削除====

個々のルールはハンドルを使わないと削除することができません。{{ic|nft --handle list}} コマンドを使うことでルールのハンドルを確認できます。例えば次のような場合:

{{hc|# nft --handle --numeric list chain inet my_table my_input|2=<nowiki>
table inet my_table {
chain input {
type filter hook input priority 0;
ip saddr 127.0.0.1 accept # handle 10
}
}
</nowiki>}}

次のコマンドで削除できます:

# nft delete rule inet my_table my_input handle 10

テーブル内のすべてのチェインは {{ic|nft flush table}} コマンドでフラッシュできます。個別のチェインは {{ic|nft flush chain}} または {{ic|nft delete rule}} コマンドでフラッシュできます。

# nft flush table ''table_name''
# nft flush chain ''family_type'' ''table_name'' ''chain_name''
# nft delete rule ''family_type'' ''table_name'' ''chain_name''

最初のコマンドは、ip {{ic|''table_name''}} テーブル内のすべてのチェインをフラッシュします。2 番目のコマンドは、{{ic|''family_type''}} {{ic|''table_name''}} テーブル内の {{ic|''chain_name''}} チェインをフラッシュします。3 番目のコマンドは、{{ic|''family_type''}} {{ic|''table_name''}} テーブル内の {{ic|''chain_name''}} チェインのすべてのルールを削除します。

=== セット ===

[https://wiki.nftables.org/wiki-nftables/index.php/Sets セットには名前付きセットと匿名セットがあります]。セットは 1 つ以上の要素で構成され、要素はカンマで区切られ、波括弧で囲まれます。匿名セットはルールに埋め込まれ、更新できません。ルールを削除して再追加する必要があります。例えば、次の dports セットから "http" だけを削除することはできません:

# nft add rule ip6 filter input tcp dport {telnet, http, https} accept

名前付きセットは更新でき、型付けやフラグ付けが可能です。''sshguard'' は、ブロックされたホストの IP アドレスに名前付きセットを使用します。

table ip sshguard {
set attackers {
type ipv4_addr
flags interval
elements = { 1.2.3.4 }
}

セットに要素を''追加''または''削除''するには、次のようにします:

# nft add element ip sshguard attackers { 5.6.7.8/32 }
# nft delete element ip sshguard attackers { 1.2.3.4/32 }

''ipv4_addr'' 型には CIDR netmask を含められることに注意してください (ここでの {{ic|/32}} は必須ではありませんが、完全性のために含めています)。また、ここで {{ic|TABLE ip sshguard { SET attackers }<nowiki/>}} によって定義されたセットは、{{ic|ip sshguard attackers}} として参照されることにも注意してください。

{{Tip|[[systemd-networkd]] 接続は、事前定義された名前付きセットにホスト IP アドレス、ネットワークプレフィックス、インターフェイスインデックスを投入するように設定できます。詳しくは {{man|5|systemd.network|[ADDRESS] SECTION OPTIONS}} の {{ic|NFTSet{{=}}}} の説明と [[#systemd-networkd を使った動的名前付きセット]] の例を参照してください。}}

===アトミックリロード===

現在のルールセットをフラッシュする:

# echo "flush ruleset" > /tmp/nftables

現在のルールセットをダンプする:

# nft list ruleset >> /tmp/nftables

{{ic|/tmp/nftables}} を編集して次のコマンドで変更を適用:

# nft -f /tmp/nftables

== サンプル ==

=== ワークステーション ===

{{hc|/etc/nftables.conf|2=<nowiki>
flush ruleset

table inet my_table {
set LANv4 {
type ipv4_addr
flags interval

elements = { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 169.254.0.0/16 }
}
set LANv6 {
type ipv6_addr
flags interval

elements = { fd00::/8, fe80::/10 }
}

chain my_input_lan {
udp sport 1900 udp dport >= 1024 meta pkttype unicast limit rate 4/second burst 20 packets accept comment "Accept UPnP IGD port mapping reply"

udp sport netbios-ns udp dport >= 1024 meta pkttype unicast accept comment "Accept Samba Workgroup browsing replies"

}

chain my_input {
type filter hook input priority filter; policy drop;

iif lo accept comment "Accept any localhost traffic"
ct state invalid drop comment "Drop invalid connections"
fib daddr . iif type != { local, broadcast, multicast } drop comment "Drop packets if the destination IP address is not configured on the incoming interface (strong host model)"
ct state { established, related } accept comment "Accept traffic originated from us"

meta l4proto { icmp, ipv6-icmp } accept comment "Accept ICMP"
ip protocol igmp accept comment "Accept IGMP"

udp dport mdns ip6 daddr ff02::fb accept comment "Accept mDNS"
udp dport mdns ip daddr 224.0.0.251 accept comment "Accept mDNS"

ip6 saddr @LANv6 jump my_input_lan comment "Connections from private IP address ranges"
ip saddr @LANv4 jump my_input_lan comment "Connections from private IP address ranges"

counter comment "Count any other traffic"
}

chain my_forward {
type filter hook forward priority filter; policy drop;
# Drop everything forwarded to us. We do not forward. That is routers job.
}

chain my_output {
type filter hook output priority filter; policy accept;
# Accept every outbound connection
}

}
</nowiki>}}

{{Tip|[[systemd-networkd]] を使用していてローカルネットワークに接続している場合、{{man|5|systemd.network}} オプション {{ic|NFTSet{{=}}}} を使って接続のネットワークプレフィックスを取得することで、ネットワークサブネットのハードコーディングを避けられます。[[#systemd-networkd を使った動的名前付きセット]] を参照してください。}}

=== サーバー ===

{{hc|/etc/nftables.conf|2=<nowiki>
flush ruleset

table inet my_table {
set LANv4 {
type ipv4_addr
flags interval

elements = { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 169.254.0.0/16 }
}
set LANv6 {
type ipv6_addr
flags interval

elements = { fd00::/8, fe80::/10 }
}

chain my_input_lan {
meta l4proto { tcp, udp } th dport 2049 accept comment "Accept NFS"

udp dport netbios-ns accept comment "Accept NetBIOS Name Service (nmbd)"
udp dport netbios-dgm accept comment "Accept NetBIOS Datagram Service (nmbd)"
tcp dport netbios-ssn accept comment "Accept NetBIOS Session Service (smbd)"
tcp dport microsoft-ds accept comment "Accept Microsoft Directory Service (smbd)"

udp sport { bootpc, 4011 } udp dport { bootps, 4011 } accept comment "Accept PXE"
udp dport tftp accept comment "Accept TFTP"
}

chain my_input {
type filter hook input priority filter; policy drop;

iif lo accept comment "Accept any localhost traffic"
ct state invalid drop comment "Drop invalid connections"
fib daddr . iif type != { local, broadcast, multicast } drop comment "Drop packets if the destination IP address is not configured on the incoming interface (strong host model)"
ct state { established, related } accept comment "Accept traffic originated from us"

meta l4proto { icmp, ipv6-icmp } accept comment "Accept ICMP"
ip protocol igmp accept comment "Accept IGMP"

udp dport mdns ip6 daddr ff02::fb accept comment "Accept mDNS"
udp dport mdns ip daddr 224.0.0.251 accept comment "Accept mDNS"

ip6 saddr @LANv6 jump my_input_lan comment "Connections from private IP address ranges"
ip saddr @LANv4 jump my_input_lan comment "Connections from private IP address ranges"

tcp dport ssh accept comment "Accept SSH on port 22"

tcp dport ipp accept comment "Accept IPP/IPPS on port 631"

meta l4proto { tcp, udp } th dport { http, https, 8008, 8080 } accept comment "Accept HTTP (ports 80, 443, 8008, 8080)"

udp sport bootpc udp dport bootps ip saddr 0.0.0.0 ip daddr 255.255.255.255 accept comment "Accept DHCPDISCOVER (for DHCP-Proxy)"
}

chain my_forward {
type filter hook forward priority filter; policy drop;
# Drop everything forwarded to us. We do not forward. That is routers job.
}

chain my_output {
type filter hook output priority filter; policy accept;
# Accept every outbound connection
}

}
</nowiki>}}

=== レート制限 ===

{{bc|1=<nowiki>
table inet my_table {
chain my_input {
type filter hook input priority filter; policy drop;

iif lo accept comment "Accept any localhost traffic"
ct state invalid drop comment "Drop invalid connections"
fib daddr . iif type != { local, broadcast, multicast } drop comment "Drop packets if the destination IP address is not configured on the incoming interface (strong host model)"

meta l4proto icmp icmp type echo-request limit rate over 10/second burst 4 packets drop comment "No ping floods"
meta l4proto ipv6-icmp icmpv6 type echo-request limit rate over 10/second burst 4 packets drop comment "No ping floods"

ct state { established, related } accept comment "Accept traffic originated from us"

meta l4proto { icmp, ipv6-icmp } accept comment "Accept ICMP"
ip protocol igmp accept comment "Accept IGMP"

tcp dport ssh ct state new limit rate 15/minute accept comment "Avoid brute force on SSH"

}

}
</nowiki>}}

===ジャンプ===

設定ファイルでジャンプを使うときは、先にターゲットチェインを定義する必要があります。そうしないと {{ic|Error: Could not process rule: No such file or directory}} というエラーが発生します。

{{bc|1=<nowiki>
table inet my_table {
chain web {
tcp dport http accept
tcp dport 8080 accept
}
chain my_input {
type filter hook input priority filter;
ip saddr 10.0.2.0/24 jump web
drop
}
}
</nowiki>}}

=== インターフェイスによってルールを変える ===

複数のネットワークインターフェイスが存在する場合、それぞれのインターフェイスごとに別々のフィルターチェインを設定したい場合があるかもしれません。例えば、ホームルーターを構築するとき、LAN 上でアクセスできるウェブサーバーを実行しつつ ({{ic|nsp3s0}} インターフェイス)、インターネットからはアクセスできないようにしたい場合 ({{ic|enp2s0}} インターフェイス) などは以下のように設定します:

{{bc|<nowiki>
table inet my_table {
chain my_input { # this chain serves as a dispatcher
type filter hook input priority filter; policy drop;

iif lo accept comment "always accept loopback"
iifname enp2s0 jump my_input_public
iifname enp3s0 jump my_input_private
}
chain my_input_public { # rules applicable to public interface interface
ct state {established,related} accept
ct state invalid drop
udp dport bootpc accept
tcp dport bootpc accept
}
chain my_input_private {
ct state {established,related} accept
ct state invalid drop
udp dport bootpc accept
tcp dport bootpc accept
tcp port http accept
tcp port https accept
reject with icmpx port-unreachable comment "all other traffic"
}
chain my_output { # we let everything out
type filter hook output priority filter;
accept
}
}
</nowiki>}}

あるいは、単一の upstream interface に対する {{ic|iifname}} statement だけを選び、それ以外のすべてのインターフェイスに対するデフォルトルールを 1 か所に置くこともできます。各インターフェイスごとに dispatch する必要はありません。

=== マスカレード ===

nftables には特殊なキーワード {{ic|masquerade}} が存在し、送信元アドレスが自動的に出力インターフェイスのアドレスに設定されます ([http://wiki.nftables.org/wiki-nftables/index.php/Performing_Network_Address_Translation_%28NAT%29#Masquerading ソース])。ルーターのインターフェイスが多数の ISP に接続されているときなど、インターフェイスの IP アドレスが一定でない場合に有用です。通常は、インターフェイスの IP アドレスが変わるたびにネットワークアドレス変換 (NAT) のルールを更新する必要があります。

{{ic|masquerade}} を使用するには:

* masquerading がカーネルで有効になっていることを確認してください (デフォルトカーネルを使用している場合は true です)。そうでない場合は、カーネル設定で {{ic|1=CONFIG_NFT_MASQ=m}} を設定します。
* {{ic|masquerade}} キーワードは {{ic|nat}} type のチェインでのみ使用できます。
* masquerading は source NAT の一種であるため、output path でのみ動作します。

2 つのインターフェイスを持つマシンの例です: LAN は {{ic|enp3s0}} に接続され、public internet は {{ic|enp2s0}} に接続されています:

{{bc|<nowiki>
table inet my_nat {
chain my_masquerade {
type nat hook postrouting priority srcnat;
oifname "enp2s0" masquerade
}
}
</nowiki>}}

テーブル type が {{ic|inet}} なので、IPv4 と IPv6 の両方のパケットが masquerade されます。IPv6 は追加の address space により NAT が不要なため、IPv4 パケットだけを masquerade したい場合は、{{ic|meta nfproto ipv4}} expression を {{ic|oifname "enp2s0"}} の前に使用するか、テーブル type を {{ic|ip}} に変更します。

=== NAT とポートフォワーディング ===

この例では、eth0 という WAN インターフェイスを通って出ていくトラフィックを masquerade し、ポート 22 と 80 を {{ic|10.0.0.2}} に転送します。[[sysctl]] によって {{ic|net.ipv4.ip_forward}} を {{ic|1}} に設定する必要があります。

{{bc|
table nat {
chain prerouting {
type nat hook prerouting priority dstnat;
iif eth0 tcp dport {22, 80} dnat to 10.0.0.2
}
chain postrouting {
type nat hook postrouting priority srcnat;
oif eth0 masquerade
}
}
}}

=== IP ごとの新規接続数をカウント ===

HTTPS 接続をカウントするには、次のスニペットを使用します:

{{hc|/etc/nftables.conf|
table inet filter {
set https {
type ipv4_addr;
flags dynamic;
size 65536;
timeout 60m;
}

chain input {
type filter hook input priority filter;
ct state new meta l4proto { tcp, udp } th dport 443 update @https { ip saddr counter }
}
}
}}

カウンターを表示するには、{{ic|nft list set inet filter https}} を実行してください。

=== 動的 blackhole ===

このスニペットは、10/second の制限を超えた source IP (または /64 IPv6 range) からのすべての HTTPS 接続を 1 分間 drop します。

{{hc|/etc/nftables.conf|
table inet dev {
set blackhole_ipv4 {
type ipv4_addr;
flags dynamic, timeout;
size 65536;
}
set blackhole_ipv6 {
type ipv6_addr;
flags dynamic, timeout;
size 65536;
}

chain input {
type filter hook input priority filter; policy accept;
ct state new meta l4proto { tcp, udp } th dport 443 \
meter flood_ipv4 size 128000 { ip saddr timeout 10s limit rate over 10/second } \
add @blackhole_ipv4 { ip saddr timeout 1m }
ct state new meta l4proto { tcp, udp } th dport 443 \
meter flood_ipv6 size 128000 { ip6 saddr and ffff:ffff:ffff:ffff:: timeout 10s limit rate over 10/second } \
add @blackhole_ipv6 { ip6 saddr and ffff:ffff:ffff:ffff:: timeout 1m }

ip saddr @blackhole_ipv4 counter drop
ip6 saddr and ffff:ffff:ffff:ffff:: @blackhole_ipv6 counter drop
}
}
}}

blackhole された IP を表示するには、{{ic|nft list set inet dev blackhole_ipv''X''}} を実行してください。

== ヒントとテクニック ==

=== 現在の rule set の保存 ===

{{ic|nft list ruleset}} コマンドの出力は、そのまま有効な入力ファイルとしても使用できます。現在の rule set をファイルに保存し、後で読み戻すことができます。

# nft -s list ruleset | tee ''filename''

{{Note|元のファイルで変数定義を使っていた場合でも、{{ic|nft list}} は変数定義を出力しません。変数は失われます。ルール内で使われていた変数は、その値に置き換えられます。}}

=== シンプルなステートフルファイアウォール ===

[[シンプルなステートフルファイアウォール]]の記事も参照してください。

==== シングルマシン ====

現在のルールセットを消去:

# nft flush ruleset

テーブルを追加:

# nft add table inet filter

input, forward, output ベースチェインを追加。input と forward のポリシーは破棄にして、output のポリシーは許可にする:

# nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }
# nft add chain inet filter forward { type filter hook forward priority 0 \; policy drop \; }
# nft add chain inet filter output { type filter hook output priority 0 \; policy accept \; }

レギュラーチェインを追加して tcp と udp に関連付ける:

# nft add chain inet filter TCP
# nft add chain inet filter UDP

関連・確立済みトラフィックは許可する:

# nft add rule inet filter input ct state related,established accept

ループバックインターフェイスのトラフィックは全て許可する:

# nft add rule inet filter input iif lo accept

不正なトラフィックは全て破棄する:

# nft add rule inet filter input ct state invalid drop

新しいエコー要求 (ping) は許可する:

# nft add rule inet filter input ip protocol icmp icmp type echo-request ct state new accept

新しい udp トラフィックは UDP チェインにジャンプする:

# nft add rule inet filter input ip protocol udp ct state new jump UDP

新しい tcp トラフィックは TCP チェインにジャンプする:

# nft add rule inet filter input ip protocol tcp tcp flags \& $fin\|syn\|rst\|ack$ == syn ct state new jump TCP

他のルールによって処理されなかったトラフィックは全て拒否する:

# nft add rule inet filter input ip protocol udp reject
# nft add rule inet filter input ip protocol tcp reject with tcp reset
# nft add rule inet filter input counter reject with icmp type prot-unreachable

ここから TCP と UDP チェインで処理する接続で開きたいポートを決めます。例えばウェブサーバーの接続を開くには:

# nft add rule inet filter TCP tcp dport 80 accept

ポート 443 からのウェブサーバーの HTTPS 接続を許可するには:

# nft add rule inet filter TCP tcp dport 443 accept

ポート 22 の SSH 接続を許可するには:

# nft add rule inet filter TCP tcp dport 22 accept

DNS リクエストを許可するには:

# nft add rule inet filter TCP tcp dport 53 accept
# nft add rule inet filter UDP tcp dport 53 accept

設定に満足したら変更を保存して永続化させてください。

=== ブルートフォース攻撃の対策 ===

[[Sshguard]] はブルートフォース攻撃を検出して一時的に IP アドレスに基づきブロックするようにファイアウォールを編集します。Sshguard で nftables を使うように設定する方法は [[Sshguard#nftables]] を見てください。

=== トラフィックのログ記録 ===

{{ic|log}} action を使ってパケットをログに記録できます。すべての受信 traffic をログに記録する最も単純なルールは次のとおりです:

# nft add rule inet filter input log

詳しくは [https://wiki.nftables.org/wiki-nftables/index.php/Logging_traffic nftables wiki] を参照してください。

=== Monitor ===

すべてのイベントを監視し、native nft format で報告します。

# nft monitor

{{man|8|nft|MONITOR}} を参照してください。

==== ruleset debugging trace temporary ====

'''meta nftrace set 1''' は ruleset packet tracing を on/off します。trace を見るには [[#Monitor|monitor trace]] コマンドを使用します。

別の shell で、interactive shell 内にファイルを "include" します:

# nft -i
nft> include "/root/nftables.trace"

必要に応じて調整した例です:

{{hc|/root/nftables.trace|
add table ip temp-trace {comment "Temporary table!!"; flags owner;}
add chain ip temp-trace icmp-prerouting { type filter hook prerouting priority raw - 1 ; }
add rule ip temp-trace icmp-prerouting ''ip protocol icmp'' '''meta nftrace set 1'''
}}

このファイルは一時テーブル (''flags owner'') を追加します。そのため、呼び出し元の interactive nft プロセスが閉じられると自動的に削除されます。Base Chain は用途に応じて調整する必要があります。複数のチェインや複数の "meta nftrace set 1" ルールを作成できます。"ip protocol icmp" は単なる例であり、必須ではありません。同様の効果を得る方法は多数あります。この方法の利点は、interactive shell を閉じることで以前の状態が自動的に復元されることと、ファイル内にエラーがある場合に何も実行されないことです。

詳しくは [https://wiki.nftables.org/wiki-nftables/index.php/Ruleset_debug/tracing nftables wiki] と、その処理を自動化して色付けする [https://github.com/aborrero/nftables-tracer python tool] を参照してください。

=== iptables-nft の使用 ===

{{Accuracy|nftables は legacy iptables object が読み込まれている場合に警告するため、legacy iptables と nftables を同時に使うことが「完全に問題なく動作する」とは言えません。}}

古い iptables 言語は Linux ドキュメントでは依然としてかなり支配的であり、Docker のネットワークなど、iptables に依存して動作するものも少なくありません。legacy iptables と nftables を同時に使うことも可能ではありますが、iptables-nft の変換を使うことが推奨されます。理由は次のとおりです:

* すべてを新しく、より効率的で、ロックを必要としないフレームワークの同じ場所に配置します。
* 競合をチェックします。

nftables で古い iptables 言語を使用する方法は 2 つあります:

* {{ic|iptables-translate}} と {{ic|iptables-restore-translate}} ({{ic|ip6tables}}、{{ic|ebtables}} なども同様) は、iptables 言語を受け取り nft 言語を出力します。実行中の nft 設定は変更しません。{{man|8|xtables-translate}} を参照してください。
: 後で保守したい設定については、{{ic|-translate}} ツールを使い、その結果のコードを既存のルールに統合するのがよいでしょう。例えば、[[シンプルなステートフルファイアウォール]]やインターネット上で便利なものを見つけた場合、それらを nft 設定に入れられるように変換できます。
* {{ic|iptables}} と {{ic|iptables-restore}} ({{ic|ip6tables}} なども同様) は上記の変換を使い、さらに実行中の nft 設定に反映します。通常の iptables と同じように統計情報も提供します。{{man|8|xtables-nft}} を参照してください。
: これらのコマンドは、やるべきことを考えれば十分にうまく動作します。単純な使い方では「そのまま動く」はずですが、ときどき手動でのデバッグが必要になることがあります。

{{Note|translator は iptables 言語の大部分をカバーしていますが、すべてではありません。一部の iptables ルールは組み合わせて動作し、translator が正しく変換するには文脈が必要です。そのため、変換結果が空になる行があっても慌てないでください。}}

=== systemd-networkd を使った動的名前付きセット ===

[[systemd-networkd]] の接続は、{{ic|NFTSet{{=}}}} オプションを使用して、事前定義された名前付きセットにホスト IP アドレス、ネットワークプレフィックス、インターフェイスインデックスを投入できます。これにより、{{ic|/etc/nftables.conf}} にそれらをハードコーディングすることを避けられます。{{ic|NFTSet{{=}}}} オプションは、{{ic|[Address]}}、{{ic|[DHCPv4]}}、{{ic|[DHCPv6]}}、{{ic|[IPv6AcceptRA]}} セクションでサポートされています。{{man|5|systemd.network|[ADDRESS] SECTION OPTIONS}} を参照してください。

例えば、ローカルネットワークからの接続 (IP アドレスが DHCP または SLAAC で割り当てられる場合) を別の {{ic|my_input_lan}} チェインで処理するには:

{{hc|/etc/nftables.conf|2=
...
table inet my_table {

set eth_ipv4_prefix {
type ipv4_addr
flags interval
comment "Populated by systemd-networkd"
}
set eth_ipv6_prefix {
type ipv6_addr
flags interval
comment "Populated by systemd-networkd"

elements = { fe80::/10 }
}
set eth_ifindex {
type iface_index
comment "Populated by systemd-networkd"
}
...
chain my_input {
type filter hook input priority filter; policy drop;

iif @eth_ifindex ip6 saddr @eth_ipv6_prefix jump my_input_lan comment "Connections from LAN"
iif @eth_ifindex ip saddr @eth_ipv4_prefix jump my_input_lan comment "Connections from LAN"
}
...
}
}}

{{hc|/etc/systemd/network/my-network.network|2=
...

[DHCPv4]
NFTSet=prefix:inet:my_table:eth_ipv4_prefix
NFTSet=ifindex:inet:my_table:eth_ifindex

[DHCPv6]
NFTSet=prefix:inet:my_table:eth_ipv6_prefix
NFTSet=ifindex:inet:my_table:eth_ifindex

[IPv6AcceptRA]
NFTSet=prefix:inet:my_table:eth_ipv6_prefix
NFTSet=ifindex:inet:my_table:eth_ifindex
...
}}

== トラブルシューティング ==

=== Docker と共に使う ===

{{Note|
* 次のセットアップでは、{{ic|--net host --privileged}} を使用してもコンテナ内で {{ic|AF_BLUETOOTH}} などのプロトコルを利用できなくなります。
* ルートレス Dockerコンテナはすでに別のネットワーク名前空間で実行されています。何もする必要がないかもしれません。
}}

nftables を使用すると、[[Docker]] のネットワーク (おそらく他のコンテナランタイムも同様) に干渉する可能性があります。
iptables ルールにパッチを適用して定義されたサービス開始順序を確保するか、docker の使用が非常に制限される dockerのiptablesの管理を完全に無効にするなど、さまざまな回避策がインターネット上で見つかります。
(ポートフォワーディングや docker-compose を考えてください)

信頼できる方法は、docker を別のネットワーク名前空間で実行させ、そこで任意の処理を実行できるようにすることです。
Docker が nftables と iptables ルールを混在させないように、{{Pkg|iptables-nft}} を'''使用しない'''方が良いでしょう。

以下の docker サービス [[ドロップインファイル]] を使用してください:

{{hc|/etc/systemd/system/docker.service.d/netns.conf|2=
[Service]
PrivateNetwork=yes
PrivateMounts=No

# cleanup
ExecStartPre=-nsenter -t 1 -n -- ip link delete docker0

# add veth
ExecStartPre=nsenter -t 1 -n -- ip link add docker0 type veth peer name docker0_ns
ExecStartPre=sh -c 'nsenter -t 1 -n -- ip link set docker0_ns netns "$$BASHPID" && true'
ExecStartPre=ip link set docker0_ns name eth0

# bring host online
ExecStartPre=nsenter -t 1 -n -- ip addr add 10.0.0.1/24 dev docker0
ExecStartPre=nsenter -t 1 -n -- ip link set docker0 up

# bring ns online
ExecStartPre=ip addr add 10.0.0.100/24 dev eth0
ExecStartPre=ip link set eth0 up
ExecStartPre=ip route add default via 10.0.0.1 dev eth0
}}

セットアップにおいてIPアドレス {{ic|10.0.0.*}} が適切でない場合は、調整してください。

以下のポストルーティングルールで、{{ic|docker0}} のIPフォワーディングを有効にし、NATを設定します:

iifname docker0 oifname eth0 masquerade

次に、[[インターネット共有#パケット転送の有効化|kernel IP forwarding]] が有効になっていることを確認します。

これで、nftables を使用して {{ic|docker0}} インターフェイスのファイアウォールとポートフォワーディングを干渉することなくセットアップできるようになります。

==参照==
* [https://wiki.nftables.org/ netfilter nftables wiki]
* [https://lwn.net/Articles/324251/ nftables の最初のリリース]
* [https://home.regit.org/netfilter-en/nftables-quick-howto/ nftables クイックハウツー]
* [https://lwn.net/Articles/564095/ nftables の帰還]
* [https://developers.redhat.com/blog/2016/10/28/what-comes-after-iptables-its-successor-of-course-nftables/ What comes after ‘iptables’? It’s successor, of course: `nftables`]

Nftables

2026-05-27T04:11:44Z

Kusanaginoturugi: /* サンプル */ 記事を更新

{{DISPLAYTITLE:nftables}}
[[Category:ファイアウォール]]
[[en:nftables]]
{{Related articles start}}
{{Related|iptables}}
{{Related|Firewalld}}
{{Related articles end}}
[https://netfilter.org/projects/nftables/ nftables] は既存の ip-, ip6-, arp-, ebtables フレームワークを置き換える [[Wikipedia:Netfilter|Netfilter]] のプロジェクトです。新しいパケットフィルタリングフレームワーク、新しいユーザースペースユーティリティ (nft)、そして ip- と ip6tables の互換レイヤーを提供します。現行のフック、接続追跡システム、ユーザースペースのキューイングコンポーネント、そして netfilter のログサブシステムを使っています。

nftables は3つのメインコンポーネントから構成されています: カーネルの実装、libnl netlink communication そして nftables ユーザースペースフロントエンド。カーネルは netlink の設定インターフェイスだけでなく、小さなクラス言語インタプリタを使用するランタイムのルールセットの評価も提供します。libnl にはカーネルと通信するためのローレベルな関数が含まれています。nftables フロントエンドはユーザーが対話するものです。

[https://wiki.nftables.org/wiki-nftables/index.php/Main_Page nftables の公式 wiki] には詳しい情報が載っています。

== インストール ==

ユーザースペースユーティリティパッケージ {{Pkg|nftables}} を[[インストール]]してください。

{{Pkg|iptables-legacy}} がインストールされている場合は、{{Pkg|iptables}} をインストールしてください。これにより {{Pkg|iptables-legacy}} が自動的にアンインストールされ、{{Pkg|nftables}} との競合を防ぎます。

{{Note|{{Pkg|iptables}} パッケージは、実際には nftables ルールを作成し操作する {{ic|iptables}} コマンドの実装を提供します。ただし、古い {{Pkg|iptables-legacy}} ツールで作成されたルールは別のオブジェクトであり、それらが存在する場合、''iptables'' は警告を表示します。}}

=== フロントエンド ===

{{Tip|ほとんどの [[iptables#Front-ends|iptables フロントエンド]]は nftables を直接または間接的にサポートしていませんが、将来的に対応する可能性があります。[https://www.spinics.net/lists/netfilter/msg58215.html] nftables と iptables の両方をサポートするグラフィカルフロントエンドの 1 つは [[firewalld]] です。[https://firewalld.org/2018/07/nftables-backend] [[ufw]] は互換レイヤー ''iptables-nft'' を介してサポートされています。[https://bugs.launchpad.net/ufw/+bug/1880453]}}

* {{App|[[firewalld]] (firewall-cmd)|ネットワークとファイアウォールゾーンの設定、およびファイアウォールルールの設定と構成を行うデーモンおよびコンソールインターフェイス。|https://firewalld.org/|{{Pkg|firewalld}}}}
* {{App|nft-blackhole|国別およびブラックリストによって nftables で IP をブロックするスクリプト / デーモン。|https://github.com/tomasz-c/nft-blackhole|{{AUR|nft-blackhole}}}}
* {{App|[[ufw]]|Ufw は Uncomplicated Firewall の略で、netfilter ファイアウォールを管理するためのプログラムです。|https://help.ubuntu.com/community/UFW|{{Pkg|ufw}}}}
* {{App|reaction|プログラムの出力から繰り返し出現するパターンをスキャンし、アクションを実行するデーモン。fail2ban の軽量な代替です。|https://framagit.org/ppom/reaction|{{AUR|reaction}}}}

== 使用方法 ==

{{Tip|すでに iptables ルールがある場合は、その iptables ルールを nftables ルールに変換できます。詳しくは [https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_to_nftables] を参照してください。}}

'''nftables''' は、コマンドラインで作成された一時的なルールと、ファイルから読み込まれた、またはファイルに保存された永続的なルールを'''区別しません'''。

すべてのルールは {{ic|nft}} コマンドラインユーティリティを使って作成または読み込む必要があります。

使用方法については [[#設定]] セクションを参照してください。

現在の ruleset は次のコマンドで表示できます:

# nft list ruleset

すべての ruleset を削除し、システムにファイアウォールがない状態にします:

# nft flush ruleset

{{ic|nftables.service}} を[[再起動]]することで、{{ic|/etc/nftables.conf}} から ruleset を読み込みます。

=== シンプルなファイアウォール ===

{{Pkg|nftables}} には、{{ic|/etc/nftables.conf}} ファイルに保存されたシンプルで安全なファイアウォール設定が付属しています。

{{ic|nftables.service}} は、[[起動/有効化]]されたときに、そのファイルからルールを読み込みます。

== 設定 ==

nftables ユーザースペースユーティリティ {{ic|nft}} は、ruleset をカーネルに渡す前に、ルールセット評価の大部分を実行します。ルールはチェインに格納され、チェインはテーブルに格納されます。以下のセクションでは、これらの構造を作成および変更する方法を示します。

ファイルから入力を読み込むには、{{ic|-f}}/{{ic|--file}} オプションを使用します:

# nft --file ''filename''

既に読み込まれているルールは'''自動的には'''フラッシュされないことに注意してください。

すべてのコマンドの完全な一覧については {{man|8|nft}} を参照してください。

===テーブル===

テーブルは[[#チェイン|チェイン]]を保持します。iptables のテーブルと違って、nftables には初めから組み込まれているテーブルはありません。テーブルの数や名前はユーザーが自由に決めることができますが、各テーブルにはアドレスファミリーをひとつしか保持することができません。5つのファミリーのうち指定したファミリーのパケットにだけ適用されます:

{| class="wikitable"
! nftables ファミリー || iptables ユーティリティ
|-
| ip || iptables
|-
| ip6 || ip6tables
|-
| inet || iptables と ip6tables
|-
| arp || arptables
|-
| bridge || ebtables
|}

{{ic|ip}} (IPv4) がデフォルトのファミリーです。特に指定がなければ {{ic|ip}} が使われます。

IPv4 と IPv6 の両方に適用されるルールを作成するには {{ic|inet}} を使います。{{ic|inet}} を使うには Linux 3.15 以上が必要で、{{ic|ip}} と {{ic|ip6}} ファミリーを統一してルールを簡単に定義できます。

{{Note|{{ic|inet}} は {{ic|nat}} タイプのチェインでは使えず、{{ic|filter}} タイプのチェインを使う必要があります ([https://www.spinics.net/lists/netfilter/msg56411.html ソース])。}}

アドレスフファミリーの完全な定義は {{man|8|nft}} の {{ic|ADDRESS FAMILIES}} セクションを参照してください。

以下で例示しているコマンドの {{ic|''family''}} は全て任意であり、指定しなかった場合は {{ic|ip}} が使われます。

==== テーブルの作成 ====

以下のコマンドで新しいテーブルが追加されます:

# nft add table ''family'' ''table''

==== テーブルの一覧表示 ====

全てのテーブルを表示するには:

# nft list tables

==== テーブル内のチェインとルールの表示 ====

指定したテーブルの全てのチェインとルールを表示するには:

# nft list table ''family_type'' ''table_name''

例えば、{{ic|inet}} family の {{ic|my_table}} テーブルのすべてのルールを一覧表示するには:

# nft list table inet my_table

==== テーブルの削除 ====

テーブルを削除するには:

# nft delete table ''family_type'' ''table_name''

これにより、テーブル内のすべてのチェインが破棄されます。

==== テーブルのクリア ====

テーブルから全てのルールを消去するには:

# nft flush table ''family_type'' ''table_name''

===チェイン===

チェインの用途は[[#ルール|ルール]]を保持することです。iptables のチェインと違って、nftables には初めから組み込まれているチェインはありません。そのためチェインが netfilter フレームワークにあるタイプやフックをどれも使わない場合、iptables とは異なりチェインを通り抜けるパケットは nftables の影響を受けません。

チェインには2つのタイプがあります。''base'' チェインはネットワークスタックからのパケットのエントリポイントとなります。フックの値を指定することができます。''regular'' チェインはジャンプターゲットとして使用することができます。

以下のコマンドで使っている {{ic|''family_type''}} は全て任意であり、指定しなかった場合は {{ic|ip}} が使われます。

==== チェインの作成 ====

===== Base chain =====

base chain を追加するには、type、hook、priority の値を指定する必要があります:

# nft add chain ''family_type'' ''table_name'' ''chain_name'' '{ type ''chain_type'' hook ''hook_type'' priority ''priority_value'' ; policy ''policy'' ;}'

{{ic|''chain_type''}} には {{ic|filter}}、{{ic|route}}、{{ic|nat}} を指定できます。

IPv4/IPv6/Inet address family では、{{ic|''hook_type''}} に {{ic|prerouting}}、{{ic|input}}、{{ic|forward}}、{{ic|output}}、{{ic|postrouting}} を指定できます。サポートされる ''family_type''、''chain_type''、''hook_type'' の組み合わせ一覧については {{man|8|nft|CHAINS}} を参照してください。

{{ic|''priority_value''}} には priority 名または整数値を指定できます。標準 priority 名と値の一覧については {{man|8|nft|CHAINS}} を参照してください。数値が小さいチェインほど先に処理され、負の値も使用できます。[https://wiki.nftables.org/wiki-nftables/index.php/Configuring_chains#Base_chain_types]

任意で、base chain には {{ic|''policy''}} ({{ic|drop}} またはデフォルトの {{ic|accept}}) を指定できます。これにより、チェイン内のルールで明示的に accept または refuse されなかったパケットに何が起こるかを定義します。

例えば、入力パケットをフィルタリングする base chain を追加するには:

# nft add chain inet my_table my_chain '{ type filter hook input priority 0; }'

上記のいずれでも {{ic|add}} を {{ic|create}} に置き換えると、新しいチェインを追加しますが、チェインが既に存在する場合はエラーを返します。

===== Regular chain =====

次のコマンドは、{{ic|''table_name''}} という名前のテーブルに {{ic|''chain_name''}} という名前の regular chain を追加します:

# nft add chain ''family_type'' ''table_name'' ''chain_name''

例えば、{{ic|inet}} address family の {{ic|my_table}} テーブルに {{ic|my_tcp_chain}} という regular chain を追加するには:

# nft add chain inet my_table my_tcp_chain

==== チェインの一覧表示 ====

次のコマンドは、''family_type'' のすべてのチェインを、ルールなしで一覧表示します ([[#ルールの一覧表示]] を参照):

# nft list chains ''family_type''

例えば、次のコマンドは IPv6 のチェインを一覧表示します:

# nft list chains ip6

family_type を省略した場合、すべてのチェインが表示されます。

==== チェインの編集 ====

チェインを編集したいときは、チェインの名前を指定して変更したいルールを定義します:

# nft chain ''family_type table_name chain_name'' '{ [ type ''chain_type'' hook ''hook_type'' device ''device_name'' priority ''priority_value'' ; policy ''policy_type'' ; ] }'

例えば、デフォルトテーブル内の {{ic|my_input}} チェインの policy を {{ic|accept}} から {{ic|drop}} に変更するには:

# nft chain inet my_table my_input '{ policy drop ; }'

==== チェインの削除 ====

チェインを削除するには:

# nft delete chain ''family_type'' ''table_name'' ''chain_name''

削除するチェインにはルールやジャンプターゲットが含まれていてはいけません。

==== チェインのルールを消去 ====

チェインからルールを消去するには:

# nft flush chain ''family_type'' ''table_name'' ''chain_name''

=== ルール ===

ルールは表現または宣言から構成され、チェインの中に格納されます。

==== ルールの追加 ====

{{Tip|''iptables-translate'' ユーティリティを使うことで [[iptables]] のルールを nftables フォーマットに変換できます。}}

チェインにルールを追加するには:

# nft add rule ''family_type'' ''table_name'' ''chain_name'' handle ''handle_value'' ''statement''

ルールは {{ic|''handle_value''}} の位置に追加されます。これは任意です。指定しない場合、ルールはチェインの末尾に追加されます。

ルール handle を確認するには、任意の有効な list コマンドに {{ic|--handle}} スイッチを追加する必要があります。このスイッチにより、{{ic|nft}} は出力に handle を表示します。{{ic|--numeric}} 引数は、未解決の IP アドレスなど、一部の数値出力を確認するのに便利です。

{{hc|# nft --handle --numeric list chain inet my_table my_input|2=<nowiki>
table inet my_table {
chain input {
type filter hook input priority 0;
ip saddr 127.0.0.1 accept # handle 10
}
}
</nowiki>}}

指定位置の前にルールを挿入するには:

# nft insert rule ''family_type'' ''table_name'' ''chain_name'' handle ''handle_value'' ''statement''

{{ic|''handle_value''}} が指定されていない場合、ルールはチェインの先頭に挿入されます。

===== 表現 =====

{{ic|''statement''}} にはマッチする表現と判断宣言が入ります。判断宣言には {{ic|accept}}, {{ic|drop}}, {{ic|queue}}, {{ic|continue}}, {{ic|return}}, {{ic|jump ''chain''}}, {{ic|goto ''chain''}} などが存在します。判断宣言以外の宣言も指定できます。詳しくは {{man|8|nft}} を参照してください。

nftables では様々な表現を使うことができ、ほとんどは、iptables と対応するようになっています。一番大きな違いは汎用的なマッチと暗黙的なマッチが存在しないことです。汎用的なマッチとは、{{ic|--protocol}} や {{ic|--source}} のように、いつでも使うことができるマッチで、暗黙的なマッチとは、{{ic|--sport}} のように、特定のプロトコルでしか使えないマッチのことです。

以下は利用できるマッチの一部です:

* meta (メタプロパティ。例: インターフェイス)
* icmp (ICMP プロトコル)
* icmpv6 (ICMPv6 プロトコル)
* ip (IP プロトコル)
* ip6 (IPv6 プロトコル)
* tcp (TCP プロトコル)
* udp (UDP プロトコル)
* sctp (SCTP プロトコル)
* ct (接続のトラッキング)

以下はマッチ引数の一部です (完全なリストは {{man|8|nft}} を見て下さい):
<nowiki>
meta:
oif <output interface INDEX>
iif <input interface INDEX>
oifname <output interface NAME>
iifname <input interface NAME>

(oif and iif accept string arguments and are converted to interface indexes)
(oifname and iifname are more dynamic, but slower because of string matching)

icmp:
type <icmp type>

icmpv6:
type <icmpv6 type>

ip:
protocol <protocol>
daddr <destination address>
saddr <source address>

ip6:
daddr <destination address>
saddr <source address>

tcp:
dport <destination port>
sport <source port>

udp:
dport <destination port>
sport <source port>

sctp:
dport <destination port>
sport <source port>

ct:
state <new | established | related | invalid></nowiki>

ある意味では、iif と oif に対する iifname と oifname の違いは、static と dynamic の違いに似ています。または、プログラミング概念でいう definition と declaration、あるいは early binding と delayed binding に似ています。使用例と追加説明へのリンクについては [https://serverfault.com/questions/1059391/nftables-error-interface-does-not-exist-after-reboot] を参照してください。

==== ルールの一覧表示 ====

次のコマンドはチェイン内のすべてのルールを一覧表示します:

# nft list chain ''family_type'' ''table_name'' ''chain_name''

例えば、{{ic|my_table}} という {{ic|inet}} テーブル内の {{ic|my_output}} というチェインのルールを一覧表示するには:

# nft list chain inet my_table my_output

====削除====

個々のルールはハンドルを使わないと削除することができません。{{ic|nft --handle list}} コマンドを使うことでルールのハンドルを確認できます。例えば次のような場合:

{{hc|# nft --handle --numeric list chain inet my_table my_input|2=<nowiki>
table inet my_table {
chain input {
type filter hook input priority 0;
ip saddr 127.0.0.1 accept # handle 10
}
}
</nowiki>}}

次のコマンドで削除できます:

# nft delete rule inet my_table my_input handle 10

テーブル内のすべてのチェインは {{ic|nft flush table}} コマンドでフラッシュできます。個別のチェインは {{ic|nft flush chain}} または {{ic|nft delete rule}} コマンドでフラッシュできます。

# nft flush table ''table_name''
# nft flush chain ''family_type'' ''table_name'' ''chain_name''
# nft delete rule ''family_type'' ''table_name'' ''chain_name''

最初のコマンドは、ip {{ic|''table_name''}} テーブル内のすべてのチェインをフラッシュします。2 番目のコマンドは、{{ic|''family_type''}} {{ic|''table_name''}} テーブル内の {{ic|''chain_name''}} チェインをフラッシュします。3 番目のコマンドは、{{ic|''family_type''}} {{ic|''table_name''}} テーブル内の {{ic|''chain_name''}} チェインのすべてのルールを削除します。

=== セット ===

[https://wiki.nftables.org/wiki-nftables/index.php/Sets セットには名前付きセットと匿名セットがあります]。セットは 1 つ以上の要素で構成され、要素はカンマで区切られ、波括弧で囲まれます。匿名セットはルールに埋め込まれ、更新できません。ルールを削除して再追加する必要があります。例えば、次の dports セットから "http" だけを削除することはできません:

# nft add rule ip6 filter input tcp dport {telnet, http, https} accept

名前付きセットは更新でき、型付けやフラグ付けが可能です。''sshguard'' は、ブロックされたホストの IP アドレスに名前付きセットを使用します。

table ip sshguard {
set attackers {
type ipv4_addr
flags interval
elements = { 1.2.3.4 }
}

セットに要素を''追加''または''削除''するには、次のようにします:

# nft add element ip sshguard attackers { 5.6.7.8/32 }
# nft delete element ip sshguard attackers { 1.2.3.4/32 }

''ipv4_addr'' 型には CIDR netmask を含められることに注意してください (ここでの {{ic|/32}} は必須ではありませんが、完全性のために含めています)。また、ここで {{ic|TABLE ip sshguard { SET attackers }<nowiki/>}} によって定義されたセットは、{{ic|ip sshguard attackers}} として参照されることにも注意してください。

{{Tip|[[systemd-networkd]] 接続は、事前定義された名前付きセットにホスト IP アドレス、ネットワークプレフィックス、インターフェイスインデックスを投入するように設定できます。詳しくは {{man|5|systemd.network|[ADDRESS] SECTION OPTIONS}} の {{ic|NFTSet{{=}}}} の説明と [[#systemd-networkd を使った動的名前付きセット]] の例を参照してください。}}

===アトミックリロード===

現在のルールセットをフラッシュする:

# echo "flush ruleset" > /tmp/nftables

現在のルールセットをダンプする:

# nft list ruleset >> /tmp/nftables

{{ic|/tmp/nftables}} を編集して次のコマンドで変更を適用:

# nft -f /tmp/nftables

== サンプル ==

=== ワークステーション ===

{{hc|/etc/nftables.conf|2=<nowiki>
flush ruleset

table inet my_table {
set LANv4 {
type ipv4_addr
flags interval

elements = { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 169.254.0.0/16 }
}
set LANv6 {
type ipv6_addr
flags interval

elements = { fd00::/8, fe80::/10 }
}

chain my_input_lan {
udp sport 1900 udp dport >= 1024 meta pkttype unicast limit rate 4/second burst 20 packets accept comment "Accept UPnP IGD port mapping reply"

udp sport netbios-ns udp dport >= 1024 meta pkttype unicast accept comment "Accept Samba Workgroup browsing replies"

}

chain my_input {
type filter hook input priority filter; policy drop;

iif lo accept comment "Accept any localhost traffic"
ct state invalid drop comment "Drop invalid connections"
fib daddr . iif type != { local, broadcast, multicast } drop comment "Drop packets if the destination IP address is not configured on the incoming interface (strong host model)"
ct state { established, related } accept comment "Accept traffic originated from us"

meta l4proto { icmp, ipv6-icmp } accept comment "Accept ICMP"
ip protocol igmp accept comment "Accept IGMP"

udp dport mdns ip6 daddr ff02::fb accept comment "Accept mDNS"
udp dport mdns ip daddr 224.0.0.251 accept comment "Accept mDNS"

ip6 saddr @LANv6 jump my_input_lan comment "Connections from private IP address ranges"
ip saddr @LANv4 jump my_input_lan comment "Connections from private IP address ranges"

counter comment "Count any other traffic"
}

chain my_forward {
type filter hook forward priority filter; policy drop;
# Drop everything forwarded to us. We do not forward. That is routers job.
}

chain my_output {
type filter hook output priority filter; policy accept;
# Accept every outbound connection
}

}
</nowiki>}}

{{Tip|[[systemd-networkd]] を使用していてローカルネットワークに接続している場合、{{man|5|systemd.network}} オプション {{ic|NFTSet{{=}}}} を使って接続のネットワークプレフィックスを取得することで、ネットワークサブネットのハードコーディングを避けられます。[[#systemd-networkd を使った動的名前付きセット]] を参照してください。}}

=== サーバー ===

{{hc|/etc/nftables.conf|2=<nowiki>
flush ruleset

table inet my_table {
set LANv4 {
type ipv4_addr
flags interval

elements = { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 169.254.0.0/16 }
}
set LANv6 {
type ipv6_addr
flags interval

elements = { fd00::/8, fe80::/10 }
}

chain my_input_lan {
meta l4proto { tcp, udp } th dport 2049 accept comment "Accept NFS"

udp dport netbios-ns accept comment "Accept NetBIOS Name Service (nmbd)"
udp dport netbios-dgm accept comment "Accept NetBIOS Datagram Service (nmbd)"
tcp dport netbios-ssn accept comment "Accept NetBIOS Session Service (smbd)"
tcp dport microsoft-ds accept comment "Accept Microsoft Directory Service (smbd)"

udp sport { bootpc, 4011 } udp dport { bootps, 4011 } accept comment "Accept PXE"
udp dport tftp accept comment "Accept TFTP"
}

chain my_input {
type filter hook input priority filter; policy drop;

iif lo accept comment "Accept any localhost traffic"
ct state invalid drop comment "Drop invalid connections"
fib daddr . iif type != { local, broadcast, multicast } drop comment "Drop packets if the destination IP address is not configured on the incoming interface (strong host model)"
ct state { established, related } accept comment "Accept traffic originated from us"

meta l4proto { icmp, ipv6-icmp } accept comment "Accept ICMP"
ip protocol igmp accept comment "Accept IGMP"

udp dport mdns ip6 daddr ff02::fb accept comment "Accept mDNS"
udp dport mdns ip daddr 224.0.0.251 accept comment "Accept mDNS"

ip6 saddr @LANv6 jump my_input_lan comment "Connections from private IP address ranges"
ip saddr @LANv4 jump my_input_lan comment "Connections from private IP address ranges"

tcp dport ssh accept comment "Accept SSH on port 22"

tcp dport ipp accept comment "Accept IPP/IPPS on port 631"

meta l4proto { tcp, udp } th dport { http, https, 8008, 8080 } accept comment "Accept HTTP (ports 80, 443, 8008, 8080)"

udp sport bootpc udp dport bootps ip saddr 0.0.0.0 ip daddr 255.255.255.255 accept comment "Accept DHCPDISCOVER (for DHCP-Proxy)"
}

chain my_forward {
type filter hook forward priority filter; policy drop;
# Drop everything forwarded to us. We do not forward. That is routers job.
}

chain my_output {
type filter hook output priority filter; policy accept;
# Accept every outbound connection
}

}
</nowiki>}}

=== レート制限 ===

{{bc|1=<nowiki>
table inet my_table {
chain my_input {
type filter hook input priority filter; policy drop;

iif lo accept comment "Accept any localhost traffic"
ct state invalid drop comment "Drop invalid connections"
fib daddr . iif type != { local, broadcast, multicast } drop comment "Drop packets if the destination IP address is not configured on the incoming interface (strong host model)"

meta l4proto icmp icmp type echo-request limit rate over 10/second burst 4 packets drop comment "No ping floods"
meta l4proto ipv6-icmp icmpv6 type echo-request limit rate over 10/second burst 4 packets drop comment "No ping floods"

ct state { established, related } accept comment "Accept traffic originated from us"

meta l4proto { icmp, ipv6-icmp } accept comment "Accept ICMP"
ip protocol igmp accept comment "Accept IGMP"

tcp dport ssh ct state new limit rate 15/minute accept comment "Avoid brute force on SSH"

}

}
</nowiki>}}

===ジャンプ===

設定ファイルでジャンプを使うときは、先にターゲットチェインを定義する必要があります。そうしないと {{ic|Error: Could not process rule: No such file or directory}} というエラーが発生します。

{{bc|1=<nowiki>
table inet my_table {
chain web {
tcp dport http accept
tcp dport 8080 accept
}
chain my_input {
type filter hook input priority filter;
ip saddr 10.0.2.0/24 jump web
drop
}
}
</nowiki>}}

=== インターフェイスによってルールを変える ===

複数のネットワークインターフェイスが存在する場合、それぞれのインターフェイスごとに別々のフィルターチェインを設定したい場合があるかもしれません。例えば、ホームルーターを構築するとき、LAN 上でアクセスできるウェブサーバーを実行しつつ ({{ic|nsp3s0}} インターフェイス)、インターネットからはアクセスできないようにしたい場合 ({{ic|enp2s0}} インターフェイス) などは以下のように設定します:

{{bc|<nowiki>
table inet my_table {
chain my_input { # this chain serves as a dispatcher
type filter hook input priority filter; policy drop;

iif lo accept comment "always accept loopback"
iifname enp2s0 jump my_input_public
iifname enp3s0 jump my_input_private
}
chain my_input_public { # rules applicable to public interface interface
ct state {established,related} accept
ct state invalid drop
udp dport bootpc accept
tcp dport bootpc accept
}
chain my_input_private {
ct state {established,related} accept
ct state invalid drop
udp dport bootpc accept
tcp dport bootpc accept
tcp port http accept
tcp port https accept
reject with icmpx port-unreachable comment "all other traffic"
}
chain my_output { # we let everything out
type filter hook output priority filter;
accept
}
}
</nowiki>}}

あるいは、単一の upstream interface に対する {{ic|iifname}} statement だけを選び、それ以外のすべてのインターフェイスに対するデフォルトルールを 1 か所に置くこともできます。各インターフェイスごとに dispatch する必要はありません。

=== マスカレード ===

nftables には特殊なキーワード {{ic|masquerade}} が存在し、送信元アドレスが自動的に出力インターフェイスのアドレスに設定されます ([http://wiki.nftables.org/wiki-nftables/index.php/Performing_Network_Address_Translation_%28NAT%29#Masquerading ソース])。ルーターのインターフェイスが多数の ISP に接続されているときなど、インターフェイスの IP アドレスが一定でない場合に有用です。通常は、インターフェイスの IP アドレスが変わるたびにネットワークアドレス変換 (NAT) のルールを更新する必要があります。

{{ic|masquerade}} を使用するには:

* masquerading がカーネルで有効になっていることを確認してください (デフォルトカーネルを使用している場合は true です)。そうでない場合は、カーネル設定で {{ic|1=CONFIG_NFT_MASQ=m}} を設定します。
* {{ic|masquerade}} キーワードは {{ic|nat}} type のチェインでのみ使用できます。
* masquerading は source NAT の一種であるため、output path でのみ動作します。

2 つのインターフェイスを持つマシンの例です: LAN は {{ic|enp3s0}} に接続され、public internet は {{ic|enp2s0}} に接続されています:

{{bc|<nowiki>
table inet my_nat {
chain my_masquerade {
type nat hook postrouting priority srcnat;
oifname "enp2s0" masquerade
}
}
</nowiki>}}

テーブル type が {{ic|inet}} なので、IPv4 と IPv6 の両方のパケットが masquerade されます。IPv6 は追加の address space により NAT が不要なため、IPv4 パケットだけを masquerade したい場合は、{{ic|meta nfproto ipv4}} expression を {{ic|oifname "enp2s0"}} の前に使用するか、テーブル type を {{ic|ip}} に変更します。

=== NAT とポートフォワーディング ===

この例では、eth0 という WAN インターフェイスを通って出ていくトラフィックを masquerade し、ポート 22 と 80 を {{ic|10.0.0.2}} に転送します。[[sysctl]] によって {{ic|net.ipv4.ip_forward}} を {{ic|1}} に設定する必要があります。

{{bc|
table nat {
chain prerouting {
type nat hook prerouting priority dstnat;
iif eth0 tcp dport {22, 80} dnat to 10.0.0.2
}
chain postrouting {
type nat hook postrouting priority srcnat;
oif eth0 masquerade
}
}
}}

=== IP ごとの新規接続数をカウント ===

HTTPS 接続をカウントするには、次のスニペットを使用します:

{{hc|/etc/nftables.conf|
table inet filter {
set https {
type ipv4_addr;
flags dynamic;
size 65536;
timeout 60m;
}

chain input {
type filter hook input priority filter;
ct state new meta l4proto { tcp, udp } th dport 443 update @https { ip saddr counter }
}
}
}}

カウンターを表示するには、{{ic|nft list set inet filter https}} を実行してください。

=== 動的 blackhole ===

このスニペットは、10/second の制限を超えた source IP (または /64 IPv6 range) からのすべての HTTPS 接続を 1 分間 drop します。

{{hc|/etc/nftables.conf|
table inet dev {
set blackhole_ipv4 {
type ipv4_addr;
flags dynamic, timeout;
size 65536;
}
set blackhole_ipv6 {
type ipv6_addr;
flags dynamic, timeout;
size 65536;
}

chain input {
type filter hook input priority filter; policy accept;
ct state new meta l4proto { tcp, udp } th dport 443 \
meter flood_ipv4 size 128000 { ip saddr timeout 10s limit rate over 10/second } \
add @blackhole_ipv4 { ip saddr timeout 1m }
ct state new meta l4proto { tcp, udp } th dport 443 \
meter flood_ipv6 size 128000 { ip6 saddr and ffff:ffff:ffff:ffff:: timeout 10s limit rate over 10/second } \
add @blackhole_ipv6 { ip6 saddr and ffff:ffff:ffff:ffff:: timeout 1m }

ip saddr @blackhole_ipv4 counter drop
ip6 saddr and ffff:ffff:ffff:ffff:: @blackhole_ipv6 counter drop
}
}
}}

blackhole された IP を表示するには、{{ic|nft list set inet dev blackhole_ipv''X''}} を実行してください。

== ヒントとテクニック ==

=== シンプルなステートフルファイアウォール ===

[[シンプルなステートフルファイアウォール]]の記事も参照してください。

==== シングルマシン ====

現在のルールセットを消去:

# nft flush ruleset

テーブルを追加:

# nft add table inet filter

input, forward, output ベースチェインを追加。input と forward のポリシーは破棄にして、output のポリシーは許可にする:

# nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }
# nft add chain inet filter forward { type filter hook forward priority 0 \; policy drop \; }
# nft add chain inet filter output { type filter hook output priority 0 \; policy accept \; }

レギュラーチェインを追加して tcp と udp に関連付ける:

# nft add chain inet filter TCP
# nft add chain inet filter UDP

関連・確立済みトラフィックは許可する:

# nft add rule inet filter input ct state related,established accept

ループバックインターフェイスのトラフィックは全て許可する:

# nft add rule inet filter input iif lo accept

不正なトラフィックは全て破棄する:

# nft add rule inet filter input ct state invalid drop

新しいエコー要求 (ping) は許可する:

# nft add rule inet filter input ip protocol icmp icmp type echo-request ct state new accept

新しい udp トラフィックは UDP チェインにジャンプする:

# nft add rule inet filter input ip protocol udp ct state new jump UDP

新しい tcp トラフィックは TCP チェインにジャンプする:

# nft add rule inet filter input ip protocol tcp tcp flags \& $fin\|syn\|rst\|ack$ == syn ct state new jump TCP

他のルールによって処理されなかったトラフィックは全て拒否する:

# nft add rule inet filter input ip protocol udp reject
# nft add rule inet filter input ip protocol tcp reject with tcp reset
# nft add rule inet filter input counter reject with icmp type prot-unreachable

ここから TCP と UDP チェインで処理する接続で開きたいポートを決めます。例えばウェブサーバーの接続を開くには:

# nft add rule inet filter TCP tcp dport 80 accept

ポート 443 からのウェブサーバーの HTTPS 接続を許可するには:

# nft add rule inet filter TCP tcp dport 443 accept

ポート 22 の SSH 接続を許可するには:

# nft add rule inet filter TCP tcp dport 22 accept

DNS リクエストを許可するには:

# nft add rule inet filter TCP tcp dport 53 accept
# nft add rule inet filter UDP tcp dport 53 accept

設定に満足したら変更を保存して永続化させてください。

=== ブルートフォース攻撃の対策 ===

[[Sshguard]] はブルートフォース攻撃を検出して一時的に IP アドレスに基づきブロックするようにファイアウォールを編集します。Sshguard で nftables を使うように設定する方法は [[Sshguard#nftables]] を見てください。

== トラブルシューティング ==

=== Docker と共に使う ===

{{Note|
* 次のセットアップでは、{{ic|--net host --privileged}} を使用してもコンテナ内で {{ic|AF_BLUETOOTH}} などのプロトコルを利用できなくなります。
* ルートレス Dockerコンテナはすでに別のネットワーク名前空間で実行されています。何もする必要がないかもしれません。
}}

nftables を使用すると、[[Docker]] のネットワーク (おそらく他のコンテナランタイムも同様) に干渉する可能性があります。
iptables ルールにパッチを適用して定義されたサービス開始順序を確保するか、docker の使用が非常に制限される dockerのiptablesの管理を完全に無効にするなど、さまざまな回避策がインターネット上で見つかります。
(ポートフォワーディングや docker-compose を考えてください)

信頼できる方法は、docker を別のネットワーク名前空間で実行させ、そこで任意の処理を実行できるようにすることです。
Docker が nftables と iptables ルールを混在させないように、{{Pkg|iptables-nft}} を'''使用しない'''方が良いでしょう。

以下の docker サービス [[ドロップインファイル]] を使用してください:

{{hc|/etc/systemd/system/docker.service.d/netns.conf|2=
[Service]
PrivateNetwork=yes
PrivateMounts=No

# cleanup
ExecStartPre=-nsenter -t 1 -n -- ip link delete docker0

# add veth
ExecStartPre=nsenter -t 1 -n -- ip link add docker0 type veth peer name docker0_ns
ExecStartPre=sh -c 'nsenter -t 1 -n -- ip link set docker0_ns netns "$$BASHPID" && true'
ExecStartPre=ip link set docker0_ns name eth0

# bring host online
ExecStartPre=nsenter -t 1 -n -- ip addr add 10.0.0.1/24 dev docker0
ExecStartPre=nsenter -t 1 -n -- ip link set docker0 up

# bring ns online
ExecStartPre=ip addr add 10.0.0.100/24 dev eth0
ExecStartPre=ip link set eth0 up
ExecStartPre=ip route add default via 10.0.0.1 dev eth0
}}

セットアップにおいてIPアドレス {{ic|10.0.0.*}} が適切でない場合は、調整してください。

以下のポストルーティングルールで、{{ic|docker0}} のIPフォワーディングを有効にし、NATを設定します:

iifname docker0 oifname eth0 masquerade

次に、[[インターネット共有#パケット転送の有効化|kernel IP forwarding]] が有効になっていることを確認します。

これで、nftables を使用して {{ic|docker0}} インターフェイスのファイアウォールとポートフォワーディングを干渉することなくセットアップできるようになります。

==参照==
* [https://wiki.nftables.org/ netfilter nftables wiki]
* [https://lwn.net/Articles/324251/ nftables の最初のリリース]
* [https://home.regit.org/netfilter-en/nftables-quick-howto/ nftables クイックハウツー]
* [https://lwn.net/Articles/564095/ nftables の帰還]
* [https://developers.redhat.com/blog/2016/10/28/what-comes-after-iptables-its-successor-of-course-nftables/ What comes after ‘iptables’? It’s successor, of course: `nftables`]

Nftables

2026-05-27T04:06:37Z

Kusanaginoturugi: /* 設定 */ 記事の更新

{{DISPLAYTITLE:nftables}}
[[Category:ファイアウォール]]
[[en:nftables]]
{{Related articles start}}
{{Related|iptables}}
{{Related|Firewalld}}
{{Related articles end}}
[https://netfilter.org/projects/nftables/ nftables] は既存の ip-, ip6-, arp-, ebtables フレームワークを置き換える [[Wikipedia:Netfilter|Netfilter]] のプロジェクトです。新しいパケットフィルタリングフレームワーク、新しいユーザースペースユーティリティ (nft)、そして ip- と ip6tables の互換レイヤーを提供します。現行のフック、接続追跡システム、ユーザースペースのキューイングコンポーネント、そして netfilter のログサブシステムを使っています。

nftables は3つのメインコンポーネントから構成されています: カーネルの実装、libnl netlink communication そして nftables ユーザースペースフロントエンド。カーネルは netlink の設定インターフェイスだけでなく、小さなクラス言語インタプリタを使用するランタイムのルールセットの評価も提供します。libnl にはカーネルと通信するためのローレベルな関数が含まれています。nftables フロントエンドはユーザーが対話するものです。

[https://wiki.nftables.org/wiki-nftables/index.php/Main_Page nftables の公式 wiki] には詳しい情報が載っています。

== インストール ==

ユーザースペースユーティリティパッケージ {{Pkg|nftables}} を[[インストール]]してください。

{{Pkg|iptables-legacy}} がインストールされている場合は、{{Pkg|iptables}} をインストールしてください。これにより {{Pkg|iptables-legacy}} が自動的にアンインストールされ、{{Pkg|nftables}} との競合を防ぎます。

{{Note|{{Pkg|iptables}} パッケージは、実際には nftables ルールを作成し操作する {{ic|iptables}} コマンドの実装を提供します。ただし、古い {{Pkg|iptables-legacy}} ツールで作成されたルールは別のオブジェクトであり、それらが存在する場合、''iptables'' は警告を表示します。}}

=== フロントエンド ===

{{Tip|ほとんどの [[iptables#Front-ends|iptables フロントエンド]]は nftables を直接または間接的にサポートしていませんが、将来的に対応する可能性があります。[https://www.spinics.net/lists/netfilter/msg58215.html] nftables と iptables の両方をサポートするグラフィカルフロントエンドの 1 つは [[firewalld]] です。[https://firewalld.org/2018/07/nftables-backend] [[ufw]] は互換レイヤー ''iptables-nft'' を介してサポートされています。[https://bugs.launchpad.net/ufw/+bug/1880453]}}

* {{App|[[firewalld]] (firewall-cmd)|ネットワークとファイアウォールゾーンの設定、およびファイアウォールルールの設定と構成を行うデーモンおよびコンソールインターフェイス。|https://firewalld.org/|{{Pkg|firewalld}}}}
* {{App|nft-blackhole|国別およびブラックリストによって nftables で IP をブロックするスクリプト / デーモン。|https://github.com/tomasz-c/nft-blackhole|{{AUR|nft-blackhole}}}}
* {{App|[[ufw]]|Ufw は Uncomplicated Firewall の略で、netfilter ファイアウォールを管理するためのプログラムです。|https://help.ubuntu.com/community/UFW|{{Pkg|ufw}}}}
* {{App|reaction|プログラムの出力から繰り返し出現するパターンをスキャンし、アクションを実行するデーモン。fail2ban の軽量な代替です。|https://framagit.org/ppom/reaction|{{AUR|reaction}}}}

== 使用方法 ==

{{Tip|すでに iptables ルールがある場合は、その iptables ルールを nftables ルールに変換できます。詳しくは [https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_to_nftables] を参照してください。}}

'''nftables''' は、コマンドラインで作成された一時的なルールと、ファイルから読み込まれた、またはファイルに保存された永続的なルールを'''区別しません'''。

すべてのルールは {{ic|nft}} コマンドラインユーティリティを使って作成または読み込む必要があります。

使用方法については [[#設定]] セクションを参照してください。

現在の ruleset は次のコマンドで表示できます:

# nft list ruleset

すべての ruleset を削除し、システムにファイアウォールがない状態にします:

# nft flush ruleset

{{ic|nftables.service}} を[[再起動]]することで、{{ic|/etc/nftables.conf}} から ruleset を読み込みます。

=== シンプルなファイアウォール ===

{{Pkg|nftables}} には、{{ic|/etc/nftables.conf}} ファイルに保存されたシンプルで安全なファイアウォール設定が付属しています。

{{ic|nftables.service}} は、[[起動/有効化]]されたときに、そのファイルからルールを読み込みます。

== 設定 ==

nftables ユーザースペースユーティリティ {{ic|nft}} は、ruleset をカーネルに渡す前に、ルールセット評価の大部分を実行します。ルールはチェインに格納され、チェインはテーブルに格納されます。以下のセクションでは、これらの構造を作成および変更する方法を示します。

ファイルから入力を読み込むには、{{ic|-f}}/{{ic|--file}} オプションを使用します:

# nft --file ''filename''

既に読み込まれているルールは'''自動的には'''フラッシュされないことに注意してください。

すべてのコマンドの完全な一覧については {{man|8|nft}} を参照してください。

===テーブル===

テーブルは[[#チェイン|チェイン]]を保持します。iptables のテーブルと違って、nftables には初めから組み込まれているテーブルはありません。テーブルの数や名前はユーザーが自由に決めることができますが、各テーブルにはアドレスファミリーをひとつしか保持することができません。5つのファミリーのうち指定したファミリーのパケットにだけ適用されます:

{| class="wikitable"
! nftables ファミリー || iptables ユーティリティ
|-
| ip || iptables
|-
| ip6 || ip6tables
|-
| inet || iptables と ip6tables
|-
| arp || arptables
|-
| bridge || ebtables
|}

{{ic|ip}} (IPv4) がデフォルトのファミリーです。特に指定がなければ {{ic|ip}} が使われます。

IPv4 と IPv6 の両方に適用されるルールを作成するには {{ic|inet}} を使います。{{ic|inet}} を使うには Linux 3.15 以上が必要で、{{ic|ip}} と {{ic|ip6}} ファミリーを統一してルールを簡単に定義できます。

{{Note|{{ic|inet}} は {{ic|nat}} タイプのチェインでは使えず、{{ic|filter}} タイプのチェインを使う必要があります ([https://www.spinics.net/lists/netfilter/msg56411.html ソース])。}}

アドレスフファミリーの完全な定義は {{man|8|nft}} の {{ic|ADDRESS FAMILIES}} セクションを参照してください。

以下で例示しているコマンドの {{ic|''family''}} は全て任意であり、指定しなかった場合は {{ic|ip}} が使われます。

==== テーブルの作成 ====

以下のコマンドで新しいテーブルが追加されます:

# nft add table ''family'' ''table''

==== テーブルの一覧表示 ====

全てのテーブルを表示するには:

# nft list tables

==== テーブル内のチェインとルールの表示 ====

指定したテーブルの全てのチェインとルールを表示するには:

# nft list table ''family_type'' ''table_name''

例えば、{{ic|inet}} family の {{ic|my_table}} テーブルのすべてのルールを一覧表示するには:

# nft list table inet my_table

==== テーブルの削除 ====

テーブルを削除するには:

# nft delete table ''family_type'' ''table_name''

これにより、テーブル内のすべてのチェインが破棄されます。

==== テーブルのクリア ====

テーブルから全てのルールを消去するには:

# nft flush table ''family_type'' ''table_name''

===チェイン===

チェインの用途は[[#ルール|ルール]]を保持することです。iptables のチェインと違って、nftables には初めから組み込まれているチェインはありません。そのためチェインが netfilter フレームワークにあるタイプやフックをどれも使わない場合、iptables とは異なりチェインを通り抜けるパケットは nftables の影響を受けません。

チェインには2つのタイプがあります。''base'' チェインはネットワークスタックからのパケットのエントリポイントとなります。フックの値を指定することができます。''regular'' チェインはジャンプターゲットとして使用することができます。

以下のコマンドで使っている {{ic|''family_type''}} は全て任意であり、指定しなかった場合は {{ic|ip}} が使われます。

==== チェインの作成 ====

===== Base chain =====

base chain を追加するには、type、hook、priority の値を指定する必要があります:

# nft add chain ''family_type'' ''table_name'' ''chain_name'' '{ type ''chain_type'' hook ''hook_type'' priority ''priority_value'' ; policy ''policy'' ;}'

{{ic|''chain_type''}} には {{ic|filter}}、{{ic|route}}、{{ic|nat}} を指定できます。

IPv4/IPv6/Inet address family では、{{ic|''hook_type''}} に {{ic|prerouting}}、{{ic|input}}、{{ic|forward}}、{{ic|output}}、{{ic|postrouting}} を指定できます。サポートされる ''family_type''、''chain_type''、''hook_type'' の組み合わせ一覧については {{man|8|nft|CHAINS}} を参照してください。

{{ic|''priority_value''}} には priority 名または整数値を指定できます。標準 priority 名と値の一覧については {{man|8|nft|CHAINS}} を参照してください。数値が小さいチェインほど先に処理され、負の値も使用できます。[https://wiki.nftables.org/wiki-nftables/index.php/Configuring_chains#Base_chain_types]

任意で、base chain には {{ic|''policy''}} ({{ic|drop}} またはデフォルトの {{ic|accept}}) を指定できます。これにより、チェイン内のルールで明示的に accept または refuse されなかったパケットに何が起こるかを定義します。

例えば、入力パケットをフィルタリングする base chain を追加するには:

# nft add chain inet my_table my_chain '{ type filter hook input priority 0; }'

上記のいずれでも {{ic|add}} を {{ic|create}} に置き換えると、新しいチェインを追加しますが、チェインが既に存在する場合はエラーを返します。

===== Regular chain =====

次のコマンドは、{{ic|''table_name''}} という名前のテーブルに {{ic|''chain_name''}} という名前の regular chain を追加します:

# nft add chain ''family_type'' ''table_name'' ''chain_name''

例えば、{{ic|inet}} address family の {{ic|my_table}} テーブルに {{ic|my_tcp_chain}} という regular chain を追加するには:

# nft add chain inet my_table my_tcp_chain

==== チェインの一覧表示 ====

次のコマンドは、''family_type'' のすべてのチェインを、ルールなしで一覧表示します ([[#ルールの一覧表示]] を参照):

# nft list chains ''family_type''

例えば、次のコマンドは IPv6 のチェインを一覧表示します:

# nft list chains ip6

family_type を省略した場合、すべてのチェインが表示されます。

==== チェインの編集 ====

チェインを編集したいときは、チェインの名前を指定して変更したいルールを定義します:

# nft chain ''family_type table_name chain_name'' '{ [ type ''chain_type'' hook ''hook_type'' device ''device_name'' priority ''priority_value'' ; policy ''policy_type'' ; ] }'

例えば、デフォルトテーブル内の {{ic|my_input}} チェインの policy を {{ic|accept}} から {{ic|drop}} に変更するには:

# nft chain inet my_table my_input '{ policy drop ; }'

==== チェインの削除 ====

チェインを削除するには:

# nft delete chain ''family_type'' ''table_name'' ''chain_name''

削除するチェインにはルールやジャンプターゲットが含まれていてはいけません。

==== チェインのルールを消去 ====

チェインからルールを消去するには:

# nft flush chain ''family_type'' ''table_name'' ''chain_name''

=== ルール ===

ルールは表現または宣言から構成され、チェインの中に格納されます。

==== ルールの追加 ====

{{Tip|''iptables-translate'' ユーティリティを使うことで [[iptables]] のルールを nftables フォーマットに変換できます。}}

チェインにルールを追加するには:

# nft add rule ''family_type'' ''table_name'' ''chain_name'' handle ''handle_value'' ''statement''

ルールは {{ic|''handle_value''}} の位置に追加されます。これは任意です。指定しない場合、ルールはチェインの末尾に追加されます。

ルール handle を確認するには、任意の有効な list コマンドに {{ic|--handle}} スイッチを追加する必要があります。このスイッチにより、{{ic|nft}} は出力に handle を表示します。{{ic|--numeric}} 引数は、未解決の IP アドレスなど、一部の数値出力を確認するのに便利です。

{{hc|# nft --handle --numeric list chain inet my_table my_input|2=<nowiki>
table inet my_table {
chain input {
type filter hook input priority 0;
ip saddr 127.0.0.1 accept # handle 10
}
}
</nowiki>}}

指定位置の前にルールを挿入するには:

# nft insert rule ''family_type'' ''table_name'' ''chain_name'' handle ''handle_value'' ''statement''

{{ic|''handle_value''}} が指定されていない場合、ルールはチェインの先頭に挿入されます。

===== 表現 =====

{{ic|''statement''}} にはマッチする表現と判断宣言が入ります。判断宣言には {{ic|accept}}, {{ic|drop}}, {{ic|queue}}, {{ic|continue}}, {{ic|return}}, {{ic|jump ''chain''}}, {{ic|goto ''chain''}} などが存在します。判断宣言以外の宣言も指定できます。詳しくは {{man|8|nft}} を参照してください。

nftables では様々な表現を使うことができ、ほとんどは、iptables と対応するようになっています。一番大きな違いは汎用的なマッチと暗黙的なマッチが存在しないことです。汎用的なマッチとは、{{ic|--protocol}} や {{ic|--source}} のように、いつでも使うことができるマッチで、暗黙的なマッチとは、{{ic|--sport}} のように、特定のプロトコルでしか使えないマッチのことです。

以下は利用できるマッチの一部です:

* meta (メタプロパティ。例: インターフェイス)
* icmp (ICMP プロトコル)
* icmpv6 (ICMPv6 プロトコル)
* ip (IP プロトコル)
* ip6 (IPv6 プロトコル)
* tcp (TCP プロトコル)
* udp (UDP プロトコル)
* sctp (SCTP プロトコル)
* ct (接続のトラッキング)

以下はマッチ引数の一部です (完全なリストは {{man|8|nft}} を見て下さい):
<nowiki>
meta:
oif <output interface INDEX>
iif <input interface INDEX>
oifname <output interface NAME>
iifname <input interface NAME>

(oif and iif accept string arguments and are converted to interface indexes)
(oifname and iifname are more dynamic, but slower because of string matching)

icmp:
type <icmp type>

icmpv6:
type <icmpv6 type>

ip:
protocol <protocol>
daddr <destination address>
saddr <source address>

ip6:
daddr <destination address>
saddr <source address>

tcp:
dport <destination port>
sport <source port>

udp:
dport <destination port>
sport <source port>

sctp:
dport <destination port>
sport <source port>

ct:
state <new | established | related | invalid></nowiki>

ある意味では、iif と oif に対する iifname と oifname の違いは、static と dynamic の違いに似ています。または、プログラミング概念でいう definition と declaration、あるいは early binding と delayed binding に似ています。使用例と追加説明へのリンクについては [https://serverfault.com/questions/1059391/nftables-error-interface-does-not-exist-after-reboot] を参照してください。

==== ルールの一覧表示 ====

次のコマンドはチェイン内のすべてのルールを一覧表示します:

# nft list chain ''family_type'' ''table_name'' ''chain_name''

例えば、{{ic|my_table}} という {{ic|inet}} テーブル内の {{ic|my_output}} というチェインのルールを一覧表示するには:

# nft list chain inet my_table my_output

====削除====

個々のルールはハンドルを使わないと削除することができません。{{ic|nft --handle list}} コマンドを使うことでルールのハンドルを確認できます。例えば次のような場合:

{{hc|# nft --handle --numeric list chain inet my_table my_input|2=<nowiki>
table inet my_table {
chain input {
type filter hook input priority 0;
ip saddr 127.0.0.1 accept # handle 10
}
}
</nowiki>}}

次のコマンドで削除できます:

# nft delete rule inet my_table my_input handle 10

テーブル内のすべてのチェインは {{ic|nft flush table}} コマンドでフラッシュできます。個別のチェインは {{ic|nft flush chain}} または {{ic|nft delete rule}} コマンドでフラッシュできます。

# nft flush table ''table_name''
# nft flush chain ''family_type'' ''table_name'' ''chain_name''
# nft delete rule ''family_type'' ''table_name'' ''chain_name''

最初のコマンドは、ip {{ic|''table_name''}} テーブル内のすべてのチェインをフラッシュします。2 番目のコマンドは、{{ic|''family_type''}} {{ic|''table_name''}} テーブル内の {{ic|''chain_name''}} チェインをフラッシュします。3 番目のコマンドは、{{ic|''family_type''}} {{ic|''table_name''}} テーブル内の {{ic|''chain_name''}} チェインのすべてのルールを削除します。

=== セット ===

[https://wiki.nftables.org/wiki-nftables/index.php/Sets セットには名前付きセットと匿名セットがあります]。セットは 1 つ以上の要素で構成され、要素はカンマで区切られ、波括弧で囲まれます。匿名セットはルールに埋め込まれ、更新できません。ルールを削除して再追加する必要があります。例えば、次の dports セットから "http" だけを削除することはできません:

# nft add rule ip6 filter input tcp dport {telnet, http, https} accept

名前付きセットは更新でき、型付けやフラグ付けが可能です。''sshguard'' は、ブロックされたホストの IP アドレスに名前付きセットを使用します。

table ip sshguard {
set attackers {
type ipv4_addr
flags interval
elements = { 1.2.3.4 }
}

セットに要素を''追加''または''削除''するには、次のようにします:

# nft add element ip sshguard attackers { 5.6.7.8/32 }
# nft delete element ip sshguard attackers { 1.2.3.4/32 }

''ipv4_addr'' 型には CIDR netmask を含められることに注意してください (ここでの {{ic|/32}} は必須ではありませんが、完全性のために含めています)。また、ここで {{ic|TABLE ip sshguard { SET attackers }<nowiki/>}} によって定義されたセットは、{{ic|ip sshguard attackers}} として参照されることにも注意してください。

{{Tip|[[systemd-networkd]] 接続は、事前定義された名前付きセットにホスト IP アドレス、ネットワークプレフィックス、インターフェイスインデックスを投入するように設定できます。詳しくは {{man|5|systemd.network|[ADDRESS] SECTION OPTIONS}} の {{ic|NFTSet{{=}}}} の説明と [[#systemd-networkd を使った動的名前付きセット]] の例を参照してください。}}

===アトミックリロード===

現在のルールセットをフラッシュする:

# echo "flush ruleset" > /tmp/nftables

現在のルールセットをダンプする:

# nft list ruleset >> /tmp/nftables

{{ic|/tmp/nftables}} を編集して次のコマンドで変更を適用:

# nft -f /tmp/nftables

== サンプル ==

=== ワークステーション ===

{{hc|/etc/nftables.conf|2=<nowiki>
flush ruleset

table inet filter {
chain input {
type filter hook input priority 0;

# accept any localhost traffic
iif lo accept

# accept traffic originated from us
ct state established,related accept

# activate the following line to accept common local services
#tcp dport { 22, 80, 443 } ct state new accept

# accept neighbour discovery otherwise IPv6 connectivity breaks.
ip6 nexthdr icmpv6 icmpv6 type { nd-neighbor-solicit, nd-router-advert, nd-neighbor-advert } accept

# count and drop any other traffic
counter drop
}
}
</nowiki>}}

=== シンプルな IPv4/IPv6 ファイアウォール ===

{{hc|firewall.rules|2=<nowiki>
# A simple firewall

flush ruleset

table inet filter {
chain input {
type filter hook input priority 0; policy drop;

# established/related connections
ct state established,related accept

# invalid connections
ct state invalid drop

# loopback interface
iif lo accept

# ICMP
# routers may also want: mld-listener-query, nd-router-solicit
ip6 nexthdr icmpv6 icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert } accept
ip protocol icmp icmp type { destination-unreachable, router-advertisement, time-exceeded, parameter-problem } accept

# SSH (port 22)
tcp dport ssh accept

# HTTP (ports 80 & 443)
tcp dport { http, https } accept
}

chain forward {
type filter hook forward priority 0; policy drop;
}

chain output {
type filter hook output priority 0; policy accept;
}

}
</nowiki>}}

===レート制限 IPv4/IPv6 ファイアウォール===

{{hc|firewall.2.rules|2=<nowiki>
table inet filter {
chain input {
type filter hook input priority 0; policy drop;

# no ping floods:
ip6 nexthdr icmpv6 icmpv6 type echo-request limit rate 10/second accept
ip protocol icmp icmp type echo-request limit rate 10/second accept

ct state established,related accept
ct state invalid drop

iif lo accept

# avoid brute force on ssh:
tcp dport ssh limit rate 15/minute accept

}

chain forward {
type filter hook forward priority 0; policy drop;
}

chain output {
type filter hook output priority 0; policy accept;
}

}
</nowiki>}}

===ジャンプ===

設定ファイルでジャンプを使うときは、先にターゲットチェインを定義する必要があります。そうしないと {{ic|Error: Could not process rule: No such file or directory}} というエラーが発生します。
{{hc|jump.rules|2=
<nowiki>
table inet filter {
chain web {
tcp dport http accept
tcp dport 8080 accept
}
chain input {
type filter hook input priority 0;
ip saddr 10.0.2.0/24 jump web
drop
}
}
</nowiki>
}}

=== インターフェイスによってルールを変える ===

複数のネットワークインターフェイスが存在する場合、それぞれのインターフェイスごとに別々のフィルターチェインを設定したい場合があるかもしれません。例えば、ホームルーターを構築するとき、LAN 上でアクセスできるウェブサーバーを実行しつつ ({{ic|nsp3s0}} インターフェイス)、インターネットからはアクセスできないようにしたい場合 ({{ic|enp2s0}} インターフェイス) などは以下のように設定します:

<nowiki>table inet filter {
chain input { # this chain serves as a dispatcher
type filter hook input priority 0;

iif lo accept # always accept loopback
iifname enp2s0 jump input_enp2s0
iifname enp3s0 jump input_enp3s0

reject with icmp type port-unreachable # refuse traffic from all other interfaces
}
chain input_enp2s0 { # rules applicable to public interface interface
ct state {established,related} accept
ct state invalid drop
udp dport bootpc accept
tcp dport bootpc accept
reject with icmp type port-unreachable # all other traffic
}
chain input_enp3s0 {
ct state {established,related} accept
ct state invalid drop
udp dport bootpc accept
tcp dport bootpc accept
tcp port http accept
tcp port https accept
reject with icmp type port-unreachable # all other traffic
}
chain ouput { # we let everything out
type filter hook output priority 0;
accept
}
}</nowiki>

もしくは {{ic|iifname}} ステートメントを特定のインターフェイスで使用して、他のインターフェイスについてはデフォルトルールを設定するという方法もあります。

=== マスカレード ===

nftables には特殊なキーワード {{ic|masquerade}} が存在し、送信元アドレスが自動的に出力インターフェイスのアドレスに設定されます ([http://wiki.nftables.org/wiki-nftables/index.php/Performing_Network_Address_Translation_%28NAT%29#Masquerading ソース])。ルーターのインターフェイスが多数の ISP に接続されているときなど、インターフェイスの IP アドレスが一定でない場合に有用です。通常は、インターフェイスの IP アドレスが変わるたびにネットワークアドレス変換 (NAT) のルールを更新する必要があります。

{{ic|masquerade}} を使用するには:

* カーネルコンフィグで以下のマスカレード設定が有効になっている必要があります。

CONFIG_NFT_MASQ=m

* {{ic|masquerade}} キーワードは {{ic|nat}} タイプのチェインでのみ使うことができます。
* マスカレードは一種のソース NAT であり、出力パスでのみ機能します。

2つのインターフェイスが存在し {{ic|nsp3s0}} が LAN に接続され、{{ic|enp2s0}} がインターネットに接続されているマシンでの設定例:

<nowiki>table inet my_nat {
chain my_masquerade {
type nat hook postrouting priority srcnat;
oifname "enp2s0" masquerade
}
}</nowiki>

テーブルタイプが{{ic|inet}}であるため、IPv4パケットとIPv6パケットの両方がマスカレードされます。IPv4パケットのみをマスカレードしたい場合（IPv6のアドレス空間が拡張されているためNATが不要）、{{ic|oifname "enp2s0"}}の前に{{ic|meta nfproto ipv4}}を追記するか、テーブルタイプを{{ic|ip}}に変更してください。

== ヒントとテクニック ==

=== シンプルなステートフルファイアウォール ===

[[シンプルなステートフルファイアウォール]]の記事も参照してください。

==== シングルマシン ====

現在のルールセットを消去:

# nft flush ruleset

テーブルを追加:

# nft add table inet filter

input, forward, output ベースチェインを追加。input と forward のポリシーは破棄にして、output のポリシーは許可にする:

# nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }
# nft add chain inet filter forward { type filter hook forward priority 0 \; policy drop \; }
# nft add chain inet filter output { type filter hook output priority 0 \; policy accept \; }

レギュラーチェインを追加して tcp と udp に関連付ける:

# nft add chain inet filter TCP
# nft add chain inet filter UDP

関連・確立済みトラフィックは許可する:

# nft add rule inet filter input ct state related,established accept

ループバックインターフェイスのトラフィックは全て許可する:

# nft add rule inet filter input iif lo accept

不正なトラフィックは全て破棄する:

# nft add rule inet filter input ct state invalid drop

新しいエコー要求 (ping) は許可する:

# nft add rule inet filter input ip protocol icmp icmp type echo-request ct state new accept

新しい udp トラフィックは UDP チェインにジャンプする:

# nft add rule inet filter input ip protocol udp ct state new jump UDP

新しい tcp トラフィックは TCP チェインにジャンプする:

# nft add rule inet filter input ip protocol tcp tcp flags \& $fin\|syn\|rst\|ack$ == syn ct state new jump TCP

他のルールによって処理されなかったトラフィックは全て拒否する:

# nft add rule inet filter input ip protocol udp reject
# nft add rule inet filter input ip protocol tcp reject with tcp reset
# nft add rule inet filter input counter reject with icmp type prot-unreachable

ここから TCP と UDP チェインで処理する接続で開きたいポートを決めます。例えばウェブサーバーの接続を開くには:

# nft add rule inet filter TCP tcp dport 80 accept

ポート 443 からのウェブサーバーの HTTPS 接続を許可するには:

# nft add rule inet filter TCP tcp dport 443 accept

ポート 22 の SSH 接続を許可するには:

# nft add rule inet filter TCP tcp dport 22 accept

DNS リクエストを許可するには:

# nft add rule inet filter TCP tcp dport 53 accept
# nft add rule inet filter UDP tcp dport 53 accept

設定に満足したら変更を保存して永続化させてください。

=== ブルートフォース攻撃の対策 ===

[[Sshguard]] はブルートフォース攻撃を検出して一時的に IP アドレスに基づきブロックするようにファイアウォールを編集します。Sshguard で nftables を使うように設定する方法は [[Sshguard#nftables]] を見てください。

== トラブルシューティング ==

=== Docker と共に使う ===

{{Note|
* 次のセットアップでは、{{ic|--net host --privileged}} を使用してもコンテナ内で {{ic|AF_BLUETOOTH}} などのプロトコルを利用できなくなります。
* ルートレス Dockerコンテナはすでに別のネットワーク名前空間で実行されています。何もする必要がないかもしれません。
}}

nftables を使用すると、[[Docker]] のネットワーク (おそらく他のコンテナランタイムも同様) に干渉する可能性があります。
iptables ルールにパッチを適用して定義されたサービス開始順序を確保するか、docker の使用が非常に制限される dockerのiptablesの管理を完全に無効にするなど、さまざまな回避策がインターネット上で見つかります。
(ポートフォワーディングや docker-compose を考えてください)

信頼できる方法は、docker を別のネットワーク名前空間で実行させ、そこで任意の処理を実行できるようにすることです。
Docker が nftables と iptables ルールを混在させないように、{{Pkg|iptables-nft}} を'''使用しない'''方が良いでしょう。

以下の docker サービス [[ドロップインファイル]] を使用してください:

{{hc|/etc/systemd/system/docker.service.d/netns.conf|2=
[Service]
PrivateNetwork=yes
PrivateMounts=No

# cleanup
ExecStartPre=-nsenter -t 1 -n -- ip link delete docker0

# add veth
ExecStartPre=nsenter -t 1 -n -- ip link add docker0 type veth peer name docker0_ns
ExecStartPre=sh -c 'nsenter -t 1 -n -- ip link set docker0_ns netns "$$BASHPID" && true'
ExecStartPre=ip link set docker0_ns name eth0

# bring host online
ExecStartPre=nsenter -t 1 -n -- ip addr add 10.0.0.1/24 dev docker0
ExecStartPre=nsenter -t 1 -n -- ip link set docker0 up

# bring ns online
ExecStartPre=ip addr add 10.0.0.100/24 dev eth0
ExecStartPre=ip link set eth0 up
ExecStartPre=ip route add default via 10.0.0.1 dev eth0
}}

セットアップにおいてIPアドレス {{ic|10.0.0.*}} が適切でない場合は、調整してください。

以下のポストルーティングルールで、{{ic|docker0}} のIPフォワーディングを有効にし、NATを設定します:

iifname docker0 oifname eth0 masquerade

次に、[[インターネット共有#パケット転送の有効化|kernel IP forwarding]] が有効になっていることを確認します。

これで、nftables を使用して {{ic|docker0}} インターフェイスのファイアウォールとポートフォワーディングを干渉することなくセットアップできるようになります。

==参照==
* [https://wiki.nftables.org/ netfilter nftables wiki]
* [https://lwn.net/Articles/324251/ nftables の最初のリリース]
* [https://home.regit.org/netfilter-en/nftables-quick-howto/ nftables クイックハウツー]
* [https://lwn.net/Articles/564095/ nftables の帰還]
* [https://developers.redhat.com/blog/2016/10/28/what-comes-after-iptables-its-successor-of-course-nftables/ What comes after ‘iptables’? It’s successor, of course: `nftables`]

Nftables

2026-05-27T03:56:15Z

Kusanaginoturugi: /* 使用方法 */ 記事を更新

Nftables

2026-05-27T03:03:40Z

Kusanaginoturugi: /* インストール */ 記事を更新