翻訳者：　鈴木　雄（すずき　ひろし）<setter at i-red dot info>

翻訳開始日：2001/8/23(v7.5) (1997/11-v4.3)
最終更新日：2007/5/20 (v9.6.0)

翻訳者コメント:

翻訳の正確さなどは、一切保証しません (できません(^^;;;)。
ですから、この文書をお読みになる方は、*必ず*原文 (http://www.delegate.org/delegate/) を併用して下さい。

誤訳などのご指摘は大歓迎ですm(__)m

BACK

本マテリアルの、
・評価のための使用
・自らが使用するための複製
・誰もがアクセス可能なオンラインメディアを経由した複製の無料配布
は、 上記の著作権通知、および、この認可通知を、全ての複製中で、 閲覧可能なことを条件として許可します。 AISTは、本マテリアルのあらゆる目的に対する、正確さや、適合性に関する表示をしません。 それは、いかなる、明示、または、暗示された保証がともなわないまま、提供されています。

順列目次

-F -P -f -r -v -d -D ADMIN AF_LOCAL Aging AUTH AUTHORIZER BASEURL CACHE CACHEFILE CGIENV CHARCODE CHARMAP CHROOT CMAP CONNECT COUNTER CRON DATAPATH DELAY DELEGATE DGCONF DGOPTS DGPATH DGROOT DGSIGN DNSCONF DYLIB EXPIRE FCL FFROMCL FFROMMD FFROMSV FMD FSV FTOMD FTOSV FILETYPE FORWARD FTOCL FTPCONF HOSTLIST HOSTS HTMLCONV HTTPCONF ICP ICPCONF INETD LDPATH LIBPATH LOGDIR LOGFILE MASTER MASTERP MAXIMA MIMECONV MOUNT MountOptions MYAUTH NNTPCONF OWNER PERMIT PORT PROTOLOG PROXY REACHABLE REJECT RELAY RELIABLE REMITTABLE RESOLV RES_AF RES_CONF RES_DEBUG RES_NS RES_RR RES_VRFY RES_WAIT RIDENT ROUTE RPORT SERVER SHARE SMTPCONF SMTPGATE SockMux SOCKOPT SOCKS SOCKSTAP SOXCONF SOCKMUX SRCIF SSLTUNNEL STLS SYSLOG TIMEOUT TLSCONF TUNNEL UMASK URICONV VSAP XCOM XFIL

CFI CU-SeeMe DGAuth DNS FTP Gopher HostList HTTP ICP IMAP LDAP NNTP POP ProtoList SMTP SockMux Socks SSI.shtml SSL TCPrelay Telnet UDPrelay Whois X

名称

概要

説明

オプション ( -P -f -r -v -d -D -F name=value )

用語

パラメータ

一般

SERVER ADMIN OWNER CRON INETD HOSTLIST CMAP DYLIB LDPATH LIBPATH DATAPATH DGCONF DGPATH DGOPTS DGSIGN SOCKOPT PORT

ルーティング

FORWARD ROUTE MASTER MASTERP PROXY SOCKS SOCKSTAP SSLTUNNEL VSAP CONNECT SRCIF TUNNEL RPORT

アクセス制御

PERMIT REMITTABLE REACHABLE RELIABLE REJECT RELAY AUTH AUTHORIZER MYAUTH RIDENT

リソース使用制限

MAXIMA TIMEOUT DELAY

キャッシュ制御

CACHE EXPIRE CACHEFILE ICP

マウント

MOUNT MountOptions URICONV BASEURL DELEGATE

データ変換

CHARCODE CHARMAP HTMLCONV MIMECONV

フィルタ制御l

FCL FTOCL FFROMCL FSV FTOSV FFROMSV FMD FTOMD FFROMMD XCOM XFIL

ローカルファイル使用法

CHROOT DGROOT SHARE UMASK LOGDIR LOGFILE PROTOLOG COUNTER Aging

ホスト名解決

HOSTS RESOLV RES_CONF RES_NS RES_AF RES_RR RES_VRFY RES_WAIT RES_DEBUG

特定プロトコル

HTTPCONF FILETYPE CGIENV ICPCONF FTPCONF NNTPCONF SMTPCONF SMTPGATE DNSCONF




ProtoList

HostList

パラメータ置換

CFI と CFI スクリプト

URL書換えによるプロキシ動作

プロトコルの詳細と使用例

TCPrelay UDPrelay SockMux Socks DGAuth PAM HTTP SSI.shtml ICP FTP Telnet POP IMAP SMTP NNTP LDAP Whois X Gopher SSL DNS CU-SeeMe




予約名

AF_LOCAL ソケット

カスタマイズ

プラットフォームに関する詳細 ( Unix MS-Windows OS/2 )

アタッカー防御

紳士的再起動

機能オプション

ファイル

参考文献

著者

フィードバック

配布

--------- --------- --------- --------- --------- --------- --------- ---------
DELEGATED(8)		     メンテナンス　コマンド		   DELEGATED(8)

delegated -Pport [-f] [-Ffunc] [-v[vdtsau]] [+=configfile] [name=value]* [--]

DeleGate は、TCP/IP や、UDP/IP 上 のさまざまなアプリケーションプロトコル ( HTTP, FTP, Telnet, NNTP, SMTP, POP, IMAP, LPR, LDAP, ICP, DNS, SSL, Socks 　他) を中継する、多機能プロキシです。 DeleGate は、直接接続が、できない/不便/能率的でない、 サーバ/クライアント間の通信を中継します。

DeleGate は、アプリケーションレベルプロキシとして動作し、 クライアント/サーバ間で中継するプロトコル (制御シーケンスと、データ構造) を解釈し、 認識されたプロトコルに対し、さまざまな付加価値を実現します。また、DeleGate は、 サーキットレベルプロキシとしても動作し、 TCP や UDP 上で、 クライアント/サーバ間の任意プロトコル通信を、正確に伝達します。

DeleGate は、アクセス制御 を強化するために、 送信プロトコル/到達サーバ/受容クライアントを制限します。 DeleGate は、禁止アクセスの繰返しに対し、 ペナルティとしてディレイを加えたり、 アタックの疑いに対し、自動的に管理者に報告を送信し、 また、サービスをシャットダウンし、防御します。 すべてのプロトコルで共通のサーキットレベルでの基本的なロギングと、 いくつかの共通書式でのプロトコル依存のロギングは、いくつかのプロトコルでサポートされます。

DeleGateは、一種のアプリケーションレベルルータ の役割をし、 上流プロキシや、Socks サーバによって選択される、 目的サーバに向ける直接/間接ルートを制御します。 サーバに向けた利用可能なルートのひとつは、アプリケーションプロトコル、 目的ホスト、ソースクライアント、の順序で試され選択されます。

アプリケーションレベルプロキシの場合、 DeleGate は、さまざまなアプリケーションプロトコルを解釈しつつ中継し、 中継データ（それぞれのアプリケーションプロトコルの構造による）の キャッシュ や、 変換 など、さまざまな付加価値のあるサービスを提供します。 アプリケーションプロトコルの解釈に基づいて、DeleGate を、 クライアントサイドプロトコル/サーバサイドプロトコル間を変換する、 プロトコルゲートウェイ として使えます。

サーキットレベルプロキシの場合、DeleGate サーバは、 TCP や UDP 上の指定したアプリケーションプロトコルの指定したサーバへ正しく送信したり、 Socks プロトコルを基本とした任意のサーバへ向けます。

アプリケーションレベルプロキシの場合、 DeleGate は、 他サーバのリソースの仮想ビューを、エイリアス/マージや、 実サーバの実名 (リソースやサービスを識別する URL) を隠すことで提供します。 それは、NFS ファイルマウントの一般化されたメカニズムに似ていますが、 異なったもので、データの内容を書きかえることで実現しています。 言いかえれば、これは、クライアントへ/からの仮想名を、 サーバの実名にマッピング（書換え）しています。 ここでの名前は、サーバ/クライアント間での要求/応答メッセージ中の、 プロトコルに依存したデータストラクチャに埋め込まれます。 この機能を、マウントと呼び、 例えば、リソース http://hostiN/ を http://hostx/iN/ として、 クライアントに見せたい場合に使います。 MOUNT は、DeleGate 組み込みアイコンとメッセージの カスタマイズにも使えます。

クライアント と DeleGate 間および、DeleGate と サーバ間の通信は、 CFI (Common Filter Interface) と呼ばれる単純な仕組みを利用し、DeleGate に関連づけされた、 ユーザ定義フィルタプログラムによって、 フィルタ/変換できます。標準入力からデータを受け取り、標準出力に書き出す 既存プログラムは、そのまま CFI プログラムとして利用できます。 さらに、外部プログラムによるフィルタリングで、 HTTP ヘッダ削除 /生成を含むいくつかの くり返し使用される機能は、DeleGate に組み込まれています。

ログファイルと、キャッシュファイルを含む、 全ての DeleGate のローカルファイル は、 単一のルートディレクトリ (DGROOT) に置かれ、 デフォルトで、DeleGate (プロセス) 所有者のプライベートファイルとなります。 しかし、それらは、異なったユーザ間で共有でき、 それぞれのファイルのパス名、所有者、アクセス権限をカスタマイズできます。 ログファイル名は、 エージングのため、日付値でパラメータ化でき、 また、キャッシュファイル名は、分散キャッシュディスクのため、 ハッシュ値でパラメータ化できます。

DeleGateは、たくさんのオプションで制御されますが、 -Pport オプションと、 SERVER=protocol パラメータだけは、 ほとんどの場合、動作させる上で必須となります。 -P オプションは、DeleGate がどのポートで クライアントからの要求を受けるかを指定します。 SERVER パラメータは、 DeleGateが、どのプロトコルでクライアントと通信するか、 また、任意で、どのサーバに通信を中継するかを指定できます。

オプションは、"+=URL" の記述により、ローカル/リモートリソースから読込めます。 通常、"+=/path/of/parameters"　のように、 ローカルファイルを使用します。 (パラメータ置換を見てください) (DGCONF も見てください)

オプション

   -P option  --   DeleGateの入り口ポート番号
	      ==  -Pport[,port]*
	 port == [host:]portNum[/udp][/admin]
      portNum == number[-number]

このオプションは、DeleGateが、 クライアントからの要求を受ける、入り口ポート番号を指定します。 一般的な例として、"-P8080" は、ホストマシンが持っている、 どのネットワークインターフェースでも、8080番の TCP ポートで、 要求を受けることを意味します。ホストが、複数のインターフェースや複数の IPアドレスを割り当てた、ひとつの物理インターフェースを持つ場合、 例えば "-Plocalhost:8080" のように、書式 -Phost:portNum で、 それらのひとつを選択できます。 DeleGate サーバは、-Pport,port,... により、 複数のポートや、(有限の) 複数ネットワークインターフェースで受けることができます。
host を指定しない場合、IPv4 アドレスのみが受理されます。 -P8080 は、 "-P0.0.0.0:8080" の省略形です。 ここに IPv6 アドレスを指定するには、IPv6 アドレス表記のコロン":" を アンダースコア"_" に置き換えます。 例) "-P__:8080" は、IPv6 におけるワイルドカードアドレス"::" の 8080番ポートで受理することを意味します。必要なら、"-Pfe80__12_34%en0:8080" のように "%" を付けることでスコープIDを指定できます。
注）SRCIF で、 出力側接続のソースアドレスの選択方法を見てください。

入り口ポートは、デフォルトで、SERVER=protocol パラメータにより、 UDP ベースアプリケーションプロトコル (dns, icp, cuseeme, udprelay) が指定された場合を除き、TCP ポートが作成されます。 また、-Pport/udp のように "/udp" が後置される場合、 SERVER で指定したプロトコルとは無関係なものとなります。

このオプションは、以下の場合を除き、*必ず* 指定しなければなりません。 DeleGate が、inetd(8)　から、起動される場合や、 ほとんどの、-Ffunction オプションを利用する場合、 または、SERVER="tunnel1" により、トンネルサーバ として動作している場合には、無視されます。

   -f option  --  フォアグラウンドで実行

指定した場合、DeleGateは、現在の 制御 tty と接続を保ちながら、 フォアグラウンドで動作するので、tty からの SIGINT により、 終了し、また、現在のディレクトリ （ワークディレクトリ から移動せず）にとどまります。

   -r option  -- 再起動

指定した場合、同一の入り口ポートで動作中の DeleGate が存在する場合、 この DeleGate が起動する前に、終了させます。 起動前に、-Fkill を実行するのと同じ効果があります。

   -v option  --  ログレベルを制御
	      ==  -v[vdtsau]

指定した場合、DeleGateは、-f のように、フォアグラウンド動作で、 制御 tty 上にログを表示し、 LOGFILE および PROTOLOG には、 書きこみません。-v より詳細なログは、 -vvオプションを使用することで得られます。 同様に、ログファイルに書きこむログの詳細さは、 -vd/-vt/-vs オプションで、制御できます。 -vd は、デバッグ情報を含む詳細なログを作成し、 -vt は、簡潔となり、 -vs は、ログを停止し、静かにします。このオプションは、LOGFILE="" と同様です。 他のオプション -va は、緊急停止(emergency shutout) を引き起こす、ABORT が発生した場合のみに出力される、 最も詳細なログレベル (-vd) においても隠されているログを生成します。 -vu は、一般的なレベルのログを出力します。

-dh HostList 突き合わせの詳細ログを有効にする。 -ds bind(), accept(), connect() を含む、ソケット操作ログを有効にする。 -dt 各スレッドの活性を、そのスレッド ID をともなう詳細なログを有効にします。

   -D option  --  サブコンポーネント無効化
             ==  -D[t]

   -S option  --  SIGCHLD シグナルを監視します

   -T option  --  システムコールトレース
	      ==  -T[xsdt]*

   -F option  --  特殊機能
	      ==  -Ffunction

指定した場合、DeleGateは、DeleGate サーバというよりも、 function に指定したプログラムとして動作します。 例："delegated -Fkill -Pport"は、port で動作している DeleGate を終了することを意味します。 "-Fimp" は、DeleGate の実行ファイルに埋め込まれたパラメータを編集し、 権限と機能を制御 (DeleGate で誰が何をできるか) し、さらに、 実行ファイルのパラメータ初期値を設定します。 使用法は、"delegated -Fimp" で表示されます。 -Fcgi では、DeleGate は HTTP サーバから起動される cgi プログラムとして機能します。 利用可能な機能 は、-Fhelp で見られます。

   -- option  --  コマンドライン引数を隠す

   parameter  ==  name=value

   conditional parameter == (condition)parameter

いくつかのパラメータと -v オプションは、"(condition)" を parameter の前に置くことで、条件付の制限をかけることができます。 現在、condition は、HostList で述べられる、 クライアントホストのリストです。 例えば、"(.localnet)-vs" は、クライアントがローカルネットワークからの場合、 ログを抑圧することを示します。 次のパラメータは、この方法で条件付にできます: BASEURL, DELAY, DELEGATE, FCL, FSV, FFROMCL, FFROMSV, FTOCL, FTOSV, LOGFILE, MAXIMA, RIDENT, TIMEOUT 。 この機能は、UDP ソケットに対しては動作しません。

   -e option  ==  -ename=value

delegated

DeleGate サーバプロセス および DeleGate プログラムの標準のファイル名。 最後に "d" が付くものは、（Unixの慣習として）"daemon" か、サーバです。

specialist

指定したクライアントサイドプロトコルで対話するように設定 （SERVER=proto を指定) された DeleGate 。

generalist

MASTER-DeleGate とも呼ばれ、任意のクライアントサイドプロトコルを、 実行時に決定（SERVER="delegate" あり）して対話します。 このときのクライアントは、この DeleGate を上流プロキシ（MASTERパラメータで指定） として使用する、DeleGate です。

bound DeleGate

対象サーバを固定で指定した DeleGate (SERVER=proto://host を指定)。

unbound DeleGate

対象サーバを固定していない DeleGate (SERVER=proto://host の指定なし)。

P-DeleGate (例えば HTTP-DeleGate)

プロトコル P でクライアントと通信する DeleGate。

Q/P-DeleGate (たとえば FTP/HTTP-DeleGate)

クライアントとプロトコル P で、 サーバとプロトコル Q で通信する DeleGate。

P proxy (例えば HTTP proxy)

プロトコル P でクライアントと通信するプロキシ。

ProtoList

プロトコルリスト。

HostList

ホスト/ネットワークリスト。

dstHostList

対象（サーバ）の HostList。

srcHostList

ソース（クライアント）の HostList。

item(N) (例えば gethostbyname(2))

Unixオンラインマニュアルの、セクション N にある、item　に関する記述を参照。

一般

このカテゴリにあるパラメータは、 使用目的や、対象アプリケーションプロトコルとは独立した、 DeleGate 共通の属性を制御するために用います。

	名称	値の書式	機能
--	----------	------------------	----------------------------------
	SERVER	proto://host:port	クライアントサイドプロトコルとデフォルトサーバ
	ADMIN	user@host.domain	この DeleGate の管理者 E-Mail アドレス
+	OWNER	user[/group]	この DeleGate に与えるアクセス権を持つユーザ
*	CRON	crontab-spec	cron 互換スケジューラの機能
*	INETD	inetd-conf	inetd と同様のサーバ設定の表記法
*	HOSTLIST	name:hostlist	名前付 HostList を定義する
*	CMAP	map-spec	現在の接続に関するマッピングテーブル
	DYLIB	patternList	ダイナミックライブラリのファイル名パターン
	LIBPATH	dir:dir:...	ライブラリファイルのサーチパス
	LDPATH	dir;dir;...	DYLIB の検索パス
	DATAPATH	dir:dir:...	データファイルの検索パス
	DGPATH	dir:dir:...	置換リソースの検索パス
	DGCONF	dir/file	設定パラメータのファイル
	DGOPTS	option;option;...	コマンドラインオプションリスト
	PORT	portList	-P オプションと同様の入り口ポートの確保

これらパラメータは、上流プロキシを使った対象サーバや、サーバへの経路上にある Socks サーバへ向ける間接ルーティングを制御します。 任意の対象サーバが、DeleGate ホストから IP レベルで直接接続できる場合、 このパラメータは、不要です。 他の場合、これらパラメータ (ICP と MOUNT) は、アプリケーションプロトコルを基本としたルーティングで、いくつかの動作をします。

--	----------	------------------	----------------------------------
*	FORWARD	proxy-_-proto:dst:src	src から dist で、proto の場合、proxyに転送します
*	ROUTE	proxy-_-dst:src	src から dist の場合、proxy に転送します
*	MASTER	host:port	上流 DeleGate 経由で接続します
	MASTERP	[host:port]	この DeleGate にプライベートな MASTER を起動します
*	PROXY	host:port	上流プロキシ経由で接続します
*	SOCKS	host[:port]	socks サーバ経由で接続します
	SSLTUNNEL	host:port	HTTPS 用 SSL トンネル経由で接続します
	VSAP	host:port	リモートホスト経由で、受信/接続します
*	CONNECT	ca,ma,di,so,...	接続タイプの試行順序
*	SRCIF	host[:port]	サーバ接続時のソースアドレス
	TUNNEL	type:scriptPath	シリアルライン上のトンネル経由で接続
	RPORT	{tcp|udp}[:host]	MASTER-DeleGate からの戻りポート

これらパラメータは、誰（クライアント）が、何（サーバ）に、 どのように（プロトコル）アクセスできるかを、制御します。 デフォルトのアクセス制御の基本ポリシーは、 DeleGate ホストのローカルネットワーク上にあるクライアントからは、 どのサーバにもアクセスを許可するよう、設計されています。 注記） REMITTABLE のデフォルト値は、 SERVER によって決まり、 複数のインタフェースを持つホスト上の DeleGate への IP レベルでの接続は、 -Phost:port オプションによって制限できます。
これらパラメータは、DeleGateにセキュリティホールを作らないようにするため、 最大限の注意を払って設定する必要があります。 特に、インターネットと直接通信できるホスト上で動作させる場合、要注意です。

--	----------	------------------	------------------------------------
*	PERMIT	proto:dst:src	許可するプロトコル/サーバ/クライアント
*	REJECT	proto:dst:src	拒否するプロトコル/サーバ/クライアント
	REMITTABLE	ProtoList	サーバに送信するプロトコル
*	REACHABLE	dstHostList	設定したサーバホストのみ到達可能です
*	RELIABLE	srcHostList	指定したクライアントホストのみ受け入れます
*	RELAY	proxy|delegate|no	プロキシモードを制限します
*	AUTH	what:aproto:users	リモート管理のための権限与えるユーザ
*	AUTHORIZER	serv:proto:dst:src	認証サーバ
*	MYAUTH	user:pass:proto:dst:src	認証クライアント
	RIDENT	client|server	上流 DeleGate にソケットアドレスを転送する

キャッシュの実行/停止と、キャッシュデータの有効期限を指定します。 キャッシュのルーティング関連での利用方法は、 CONNECT でも制御できます。 古くなったキャッシュファイルの削除は、 CRON を使用し、定期的に実行できます。

--	----------	------------------	----------------------------------
	CACHE	do|no|ro	キャッシュ有無の制御
*	EXPIRE	days|hours|secs	キャッシュデータの有効期限
	CACHEFILE	fileNameSpec	キャッシュデータを保存するファイル
*	ICP	icpClientConfig	ICP クライアントとしての設定

複数サーバのマージ、 異なったプロトコル間の翻訳、 内部サーバを外部に見せるなど、 他サーバ (群) の仮想ビューを、 URL マッピングや、 フィルタ、および、リソース名の書換えを行って実現します。 また、MOUNT を、カスタマイズ や、 組み込みアイコンとメッセージの置換に使えます。

--	----------	------------------	----------------------------------
*	MOUNT	"vURL rURL opt"	仮想 URL と、実 URL のマップ
*	URICONV	convList:attrList	MOUNTでの、URI 書換えを制御
	BASEURL	URL	このサーバのベース（仮想）URL
	DELEGATE	host:port	BASEURL の簡易型

ローカルファイル使用法

全てのローカルファイルは、デフォルトで、DGROOT 下に統合されます。 不要なら、これらパラメータを変更や設定する必要はありません。

--	----------	------------------	----------------------------------
+	CHROOT	dirPath	起動時にファイルシステムのルートを変更
+	DGROOT	dirPath	全 DeleGate ファイルのルートディレクトリ
*+	SHARE	dirPatternList	ユーザ間で共有するファイル
+	UMASK	mask	umask のオクタル値
	VARDIR	dirPath	ログとキャッシュのデフォルトベース
	CACHEDIR	dirPath	キャッシュファイルの場所
	ETCDIR	dirPath	常駐管理ファイルの場所
	LOGDIR	dirPath	DeleGate ログの場所
	LOGFILE	LogFilename	DeleGate のログファイル
	PROTOLOG	LogFilename	httpd / wu-ftp 互換ログファイル
	ERRORLOG	LogFilename	DeleGate エラーログファイル
	TRACELOG	LogFilename	シグナルトレース (-T による) 書出しファイル
	EXPIRELOG	LogFilename	エクスパイアログファイル
	COUNTER	CounterOptions	アクセスカウンタ
	WORKDIR	dirPath	DeleGate がコアダンプする場所 (-_-;
	ACTDIR	dirPath	一時ファイルの場所
	TMPDIR	dirPath	表にでない一時ファイルの場所
	PIDFILE	fileName	DeleGate の PID ファイル

SERVER parameter* == SERVER=protocol[://host[:portNum]][:-:MountOptions]
	  portNum == [+|-]number
		  -- default: SERVER=delegate

SERVER=protocol で、 クライアントとの通信で使用するプロトコルを指定し、 それはデフォルトでサーバとの通信プロトコルになります。

例） 対象サーバを限定しない Telnet-DeleGate の SERVER パラメータ

SERVER=telnet
SERVER="delegate" を指定した場合、 DeleGate は generalist (または、MASTER-DeleGate) で起動し、 これは、他の DeleGate に対する、上流 DeleGate として動作します。 注記：generalistは、 デフォルトで任意のプロトコルが許可されていますので、 アクセス制御を充分に考慮しないと危険です。 (REMITTABLE を見てください) generalist は、DeleGate オリジナルプロトコルと同様に、 HTTP、代理 Whois を含む、 複数のプロトコルを自動検出します。

対象サーバ（host) を指定しない場合、 それは、アプリケーションレベルのプロトコルに依存した方法で、 実行時に、クライアントにより、何らかの形で与えられます。

"http" と "socks" を含むいくつかのプロトコルは、固有で自動的な、 プロキシを行う方法を持っています。 "ftp" や "pop" のような、いくつかのプロトコルは、サーバにログインするための サブプロトコルを元々持っているので、対象サーバについての情報は、 user@host のようにエンコードされ、 ログイン情報として使うユーザ名になります。 "whois"や、"gopher"を含むいくつかのプロトコルでは、最初のメッセージは、通常、 問い合わせメッセージとしてクライアント側から送られ、このメッセージは、 対象サーバに関する情報を含むように、拡張されています（仕様変更なしに）。 "telnet"のような、他のプロトコルは、クライアントプログラム上のユーザと対話し、 プロキシ動作は、ログインダイアログを拡張することによって実現できます。

サーバでのプロトコルは、クライアントでのプロトコルと同様であることが、 暗黙で要求されます。 HTTP のようないくつかのプロトコルは対象サーバとのプロトコルを指定する固有の方法を 持っています。 他の場合、例えば、MOUNT="/news/* nntp://server/*"　のように、MOUNT パラメータ で明示しなければなりません。

SERVER=protocol://host:portNum は、対象サーバの URL を指定します。 ":portNum" 部分は、番号が、プロトコル標準ポート番号の場合、通常、 URL 中で省略できます。 DeleGate によって認識されるプロトコルと標準ポート番号の一覧は、 "http://delegate/-/builtin/mssgs/config.dhtml" で見られます。 portNum に "-" または "+" が前置される場合、 入り口ポート番号に指定したオフセットを加えたポート番号 を割り当てます。 また、"-"（portNum なし）の場合、同じポート番号を使用します。

例) 複数ポートを単一の他のホストに転送する

-P21,23,25,80 SERVER=tcprelay://host:-/

注記：この、特定のサーバにバインドした DeleGate は、 任意サーバに対するプロキシとしての動作を停止していません。 必要なら PERMIT, REACHABLE, RELAY パラメータを使用し、 プロキシ機能を制限しなければなりません。

SERVER パラメータが ":-:MountOptions"　を伴う場合、 MountOptions に指定された条件を評価した結果が真の場合、 動的に SERVER パラメータを選択します。 特殊な場合として、 ":-:via=HostList" は、 ":-:HostList" のように省略できます。

例） クライアントに適切な NNTP サーバを選択する。

SERVER="nntp://newsserver1:-:from={*.dom1}"
SERVER="nntp://newsserver2:-:from={*.dom2}"

例） {NNTP,SMTP,POP}-DeleGate を単一サーバで実行

-P119,110,25
SERVER="nntp://nntpserver:-:{*:119}"
SERVER="smtp://smtpserver:-:{*:25}"
SERVER="pop://popserver:-:{*:110}"

ADMIN parameter == ADMIN=user@host.domain
		-- default: コンパイル時に指定されたもの

OWNER parameter* == OWNER=user[/group][:srcHostList]
		 -- default: OWNER="nobody/nogroup"
		 -- 制限: ほとんどの Unix でスーパーユーザのみ
		 -- 制限: Windows 上でのサービスのユーザの設定

このパラメータは、スーパーユーザにより起動された場合のみ有効です。 指定した場合、DeleGateは、setuid(2) と setgid(2) システムコールを呼び出し、指定したユーザの権限で実行します。 ユーザとグループは、それぞれ、シンボリック名か、"#1234" のように、 "#" を前置きした ID 番号で、指定できます。
srcHostList が指定された場合、リスト中にクライアントホストが含まれる場合、 この DeleGate の所有者は、user に設定されます。 ユーザ名 "*" は、クライアントの ユーザ名 (クライアントホスト上のIdentification サーバから得られた) に置換えられます。

例）クライアントのユーザ名と一致したユーザIDで動作する

OWNER="*:*@*".

Windows で、OWNER=user を指定してサービスとして起動した時、 DeleGate サービスが作られるときのユーザをセットします。 OWNER="" のように空のユーザが指定された場合、ユーザ名は、 USERNAME 環境変数から取得されます。 パスワードは、PASS=pass パラメータ、環境変数で指定するか、コンソールで問い合わせられます。

CRON parameter*     ==  CRON="crontab-spec"
       crontab-spec == minute hour day month dayOfWeek action
                    -- default: none

Unix システムでの、cron(8)サーバにおける、標準 crontab(5) 互換の、 crontab-spec 書式で指定した時間にアクションを起こします。 アクションに "/" が前置きされる場合、外部アクションとして、 system(3)関数を使用して、実行されます。 アクションに、"-" が前置きされる場合、 DeleGate の組み込み内部アクションです。

-suspend N	-- N 秒間停止する
-restart	-- DeleGate を再起動
-exit	-- DeleGate を終了
-expire N	-- "-atime +Nd" で、 $CACHEDIR のエクスパイアを実行
-system command	-- シェルコマンドとしてコマンドを実行する
/dir/command args	-- "-system /dir/command args" と同じ
- args	-- "/dir/delegated args"と同じ
-Ffunc args	-- "/dir/delegated -Ffunc args"と同じ

例）

CRON="0 0 * * * -restart"
CRON="0 3 * * * -expire 3" (下記と同じ)
CRON="0 3 * * * -Fexpire /path/of/cache -rm -atime +3 -sum"
CRON="0 3 * * * /path/of/delegated -Fexpire /path/of/cache -rm -atime +3 -sum"

INETD parameter* == INETD="inetd-conf"
      inetd-conf == port sockType proto waitStat uid execPath argList
	    port == [host:]portNum
	sockType == stream|dgram
	   proto == tcp|udp
	waitStat == nowait ("wait" は、まだサポートされていません。)
		 -- default: none

指定したポートに要求がきた場合、指定した構成で、 新たな DeleGate プロセスを起動します。 inetd-conf 設定の書式は、Unix システムにでの 標準 inetd.conf(5) と同様です。
各フィールドのデフォルト値は、"-" で表現します。 sockType，proto，waitStat のデフォルト値は、 それぞれ、"stream"，"tcp"，"nowait"です。 uid フィールドは、起動されたプロセス中 の OWNER パラメータとして使用されます。 uid の値に "-" を指定した場合、DeleGateを、 OWNER パラメータなしで起動することを意味します。 execPath が "-" の場合、指定された argList とともに、 DeleGate の子プロセスが開始することを意味します。 親 DeleGate プロセスの設定は、子 DeleGate に継承されます。 例）次のように 親 DeleGate が起動された場合：
delegated ADMIN=foo EXPIRE=1 INETD=conf1 INETD=conf2
ここでの、ADMIN と EXPIRE パラメータは conf1 と conf2 で 記述される DeleGate に継承されます。

例）

INETD="8080 stream tcp nowait nobody - SERVER=http"
INETD="8080 - - - nobody - SERVER=http" (上と同じ)
INETD="8119 - - - - - SERVER=nntp://nntpserver/"
INETD="8888 - - - - /bin/date date" (以下と同じ)
INETD="8888 - - - - - SERVER=exec XCOM="/bin/date date"
INETD="8888 dgram udp - - /bin/date date"
INETD="localhost:8888 - - - - - /bin/sh sh"
INETD=+=/path/of/inetd.conf (設定をファイルから読みこむ)

HOSTLIST parameter* ==	HOSTLIST=listName:HostList

listName の名前を付けた HostList を定義する。 名前付 HostList は、他の HostList 内で参照できます。 複数の HOSTLIST パラメータが、同じ listName で定義された場合、 最後のひとつが参照されます。 HOSTLIST="listName:+,newHostList" のように HostList の前に "+," がつく場合、 newHostList は、定義済みリストに追加されます。

定義済み名前付 HostList:

HOSTLIST=.localnet:localhost,./@,-/@,.o/@"

HOSTLIST=.socksdst:!.localnet

例）

// .localnet を再定義する
HOSTLIST=".localnet:localhost,./32,192.168.*"
// 定義済み .localnet から localhost を除外する
HOSTLIST=".localnet:+,!localhost"

CMAP parameter*      == CMAP=resultStr:mapName:connMap
           connMap == ProtoList:dstHostList:srcHostList
                    -- default: none

現接続において、いくつかのパラメータを条件付にする汎用パラメータ。 現接続においてプロトコル、対象、ソースが connMap と一致する場合、 このマップは、mapName に使用するために、 resultStr 文字列の提供を有効にします。
ホスト名／アドレスだけでなく、対象サーバのポート番号も dstHostList におけるマッチングで使用可能です。 このパラメータは、一般的に、 条件付フィルタを利かせる場合に使用します。

TLSCONF parameter*  ==  TLSCONF=tlsConf[,tlsConf]*
           tlsConf  ==  what:value
                    --  default: TLSCONF=scache:do,xcache:do

STLS parameter*     ==  STLS=stlsSpecs[,sslwayCom][:connMap]
         stlsSpecs  ==  [-]stlsSpec[/ssl][,stlsSpecs]
           stlsSpec  ==  fsv | fcl | mitm | imimSec
         sslwayCom  ==  {sslway [-Vrfy] [-CApath dir] ...}
           connMap  ==  ProtoList:dstHostList:srcHostList
                    --  default: none
                    --  制限: HTTP, FTP, SMTP, POP, IMAP, SOCKS に対して有効
                    --  必須: SSLway

このパラメータは、それぞれのアプリケーションプロトコルで、サーバ/クライアント間 ネゴシエーションにおける、SSL(TLS) の初期化を制御します。 ネゴシエーションの共通のスキームは、"STARTTLS" として知られています。 "fsv" は SSL をサーバと、"fcl" は、SSL をクライアントとの間で使用することを指定します。 接続において SSL がサポートされない場合、 STARTTLS ネゴシエーションは失敗し、デフォルトで接続は閉じられます。 SSL が使用できなくてもセッションを継続したい場合、 "-" を "fsv" または、"fcl" の前につけます。

"fcl" を指定した場合、クライアントは STARTTLS ネゴシエーション無しで SSL を開始できます。このようなクライアントサイドからの暗黙の SSL ネゴシエーションは、 クライアントサイドから接続時の、SSLハンドシェイクパケットを、 セッション開始時に imimSec によって指定された、 一定時間覗くことで検出されます。デフォルト値は、"im0.25"(250m秒)です。 "-im" は、この暗黙の SSL ネゴシエーションを無効にします。

"mitm" を指定すると、"-fcl,-fsv" のように振る舞い、 クライアント側で SSL が有効になった後に、サーバ側の SSL が有効になります。 HTTP プロキシ DeleGate とともに使うことで、 "セキュアプロキシ(secure proxy)" または CONNECT メソッドでの双方向通信を監視する "SSL トンネル(SSL-tunnel)"、通常の HTTP と同様にフィルタとキャッシュを適用して 転送するのに使えます。 ("mitm" は、"マン・イン・ザ・ミドル(Man-In-The-Middle)" モードです。) "STLS=-mitm" オプションを設定した場合、クライアントが "https://host.domain/" に対して、 "https://-mitm.host.domain/" のように、"-mitm." を前置したサーバ名を指定したときだけ MITM モードが活性化します。

デフォルト以外の SSLway コマンドパスまたは、オプションを使う必要がある場合、 たとえば STLS="fcl,sslway -Vrfy -cert mycert.pem" のように、 stlsSpecs の後ろに SSLway コマンドを指定できます。

例)

STLS="fcl" -- クライアントとの通信に SSL を使う (不能な場合、セッションを閉じる)
STLS="-fcl" -- 可能な場合、クライアントとの通信に SSL を使う
STLS="fsv,-fcl" -- サーバとの通信に SSL を使用し、可能な場合クライアントとの通信に SSL を使う
STLS="fsv/ssl" SERVER="ftp" -- AUTH TLS の代わりに、AUTH SSL を使う

DGCONF parameter    ==  DGCONF=dir/file
                    --  default: DGCONF='${EXECDIR}/${EXECNAME}.conf'

DYLIB parameter     ==  DYLIB=libfilePattern[,libfilePattern]*
                    --  default: DYLIB='dglib*.so,lib*.so,dglib*.dylib,lib*.dylib'

LDPATH parameter    ==  LDPATH=dirPath[;dirPath]*
                    --  default: LDPATH='${LIBDIR};${EXECDIR};/usr/lib;/lib'

どこでダイナミックライブラリ (DYLIB) を検索するか指定する。

LIBPATH parameter == LIBPATH=dirPath[:dirPath]*
		  -- default: LIBPATH=LIBPATH='.:${STARTDIR}:${LIBDIR}:${EXECDIR}:${ETCDIR}'

DATAPATH parameter  ==	DATAPATH=dirPath[:dirPath]*
		    --	default: DATAPATH='.:${DGROOT}:${STARTDIR}

DGPATH parameter == DGPATH=dirPath[:dirPath]*
		 -- default: DGPATH='+:.:${HOME}/delegate:${ETCDIR}'

DGSIGN parameter    ==  DGSIGN=signatureSpec
                     --  default: DGSIGN="V.R.P/Y.M.D"

クライアントやサーバに提示する DeleGate の署名を指定します。 署名全体 "Version.Revision.Patch (Month Day, Year)" は、"V.R.P/Y.M.D" で表されます。 指定部分を隠すには、対応するキャラクタを、"x" に置き換えます。 例) DGSIGN="V.x.x/Y.x.x" は、"DeleGate/9.x.x (x x, 2005)" のような署名にします。

DGOPTS parameter    == DGOPTS=opt[;opt]*
                    -- default: none

SOCKOPT parameter   ==  SOCKOPT=[no]name[:value]
                    --  default: reuse

PORT parameter      ==  PORT=port[,port]*
	  port == [host:]portNum[/udp]
       portNum == number[-number]
	            -- default: none

FORWARD parameter*  ==  FORWARD=gatewayURL[-_-connMap]
        gatewayURL  ==  gwproto://gwhost[:gwport]
           connMap  ==  protoList:dstHostList:srcHostList
                    --  default: none

protoList にあるプロトコルで、 srcHostList にあるクライアントから、 dstHostList にあるサーバへの要求が、 connMap に指定された条件とマッチする要求の場合、 gatewayURL で指定されたプロキシサーバへ向けて、 要求を転送します。 connMap が省略された場合、 要求は無条件に gatewayURL へ転送されます。 gwhost に前置した "user:pass@" として認証情報が与えられた場合、 gwhost との接続後の認証段階で使われます。
FORWARD は、ROUTE の一般化表記で、 以下の2つの表記は同等となります。
ROUTE=gwproto://gwhost:gwport/-_-dstHostList:srcHostList
FORWARD=gwproto://gwhost:gwport/-_-*:dstHostList:srcProtoList

特別な、gwproto で、FORWARD は、 MASTER, PROXY, SOCKS、および SSLTUNNEL の一般化表記として次のように動作します。

delegate -- DeleGate へ転送

MASTER=gwhost:gwport:dstHostList
FORWARD=delegate://gwhost:gwport/-_-*:dstHostList:*

http, ftp, telnet ‐‐ アプリケーションレベルプロキシ (HTTP, FTP, Telnet) へ転送

PROXY=gwhost:gwport:dstHostList
FORWARD=gwproto://gwhost:gwport/-_-*:dstHostList:*

socks -- SOCKS サーバへ転送

SOCKS=gwhost:gwport[/socksOpt]:dstHostList:srcHostList
FORWARD=socks://gwhost:gwport[/socksOpt]-_-*:dstHostList:srcHostList

ssltunnel ‐‐ SSL トンネル (CONNECT メソッドが使える HTTP プロキシ) へ転送

SSLTUNNEL=gwhost:gwport
FORWARD="ssltunnel://gwhost:gwport/-_-*:*:*"

direct -- サーバに直接的に接続

CONNECT="direct:protoList:dstHostList:srcHostList"
FORWARD="direct-_-protoList:dstHostList:srcHostList"

noroute -- サーバへの接続を試みない

CONNECT="cache:protoList:dstHostList:srcHostList"
FORWARD="noroute-_-protoList:dstHostList:srcHostList"

複数の FORWARD パラメータが指定された場合、設定された順序で試されます。 対象サーバに対し複数のルートが利用可能な場合で、 FORWARD と、他のパラメータ(MASTER, PROXY, SOCKS, SSLTUNNEL) の混合とともに指定された場合、 FORWARD により指定されたルートは、CONNECT で、 "proxy" または、"master" により指定された優先順位で試行されます。

例) 認証つきの SSL トンネル経由で到達できる HTTPS サーバへの HTTP クライアント用ゲートウェイ

MOUNT="/* https://sslhost/*"
STLS=fsv:https:sslhost
FORWARD=ssltunnel://user:pass@proxyhost:8080-_-https:sslhost

ROUTE parameter*    == ROUTE=proto://host:port/-_-dstHostList:srcHostList
                    -- default: none

MASTER parameter*   == MASTER=host:port[/masterControl][:dstHostList]
                    -- default: none

このパラメータは、この DeleGate が、要求を転送する、 上流の generalist DeleGate (MASTER-DeleGate) を指定します。 MASTER への転送は、":dstHostList" を ポストフィックスすることにより選択できます; dstHostList に指定されている対象サーバへ 向けた要求のみ MASTER-DeleGate に転送されます。 複数の MASTER が指定された場合、順序通りに、MASTER への接続が 成功するまで試行されます。

任意の "/masterControl" 次のように指定できます:

cache -- MASTER においてキャッシュヒットした場合のみ MASTER を使用
teleport -- MASTER に対して、永続的な Teleport 接続を確立する

MASTERP parameter   ==  MASTERP=[host:port]
                    -- default: none

RPORT parameter    == RPORT={tcp|udp}[:host]
                    -- default: none

PROXY parameter*    == PROXY=host:port[:dstHostList]
                    -- default: none
                    -- 制限:  HTTP, FTP, Telnet に適用可能

SOCKS parameter*    ==   SOCKS=host[:[port][/socksOpt][:dstHostList[:srcHostList]]]
           socksOpt  ==  [ -4 | -r ]*
                    -- default: none

host 上の使用する Socks サーバを指定します。サーバは、SocksV5 プロトコル を理解しなければなりません。サーバが V4 しかサポートしない場合、 "SOCKS=host:port/-4" のように、"-4" オプションを指定します。
"-r" オプションは DeleGate と Socks サーバのどちらが名前解決 （対象ホストの IP アドレス から、そのホスト名へ）するかを制御します。 SocksV4 サーバの場合、名前解決はデフォルトで DeleGate によって行なわれます。 "-r" オプションは、名前解決をサーバに任せます (これは、サーバが拡張 Socks4A プロトコルをサポートしている場合、使用可能です)。 SocksV5 サーバの場合、名前解決はデフォルトでサーバ任せとなり、 "-r" オプションは、解決を DeleGate によりローカルで行なうようにします。
デフォルトでは、Socks 経由で接続を確立するのは、 全てを試行した後になりますが、 CONNECT パラメータで、順序を制御できます。
dstHostList が省略された場合、初期値は、 "!.localnet" です。 この初期値は、名前付 HostList ".socksdst" (HOSTLIST=".socksdst:!.localnet" として、定義済み） を再定義することで、変更が可能です。

例）

CONNECT=s,d SOCKS="sockshost:1080:!.localnet,!*.my.domain"

SSLTUNNEL parameter ==  SSLTUNNEL=host:port
                    -- default: none

VSAP parameter      == VSAP=host:port
                    -- default: none

CONNECT parameter*  ==  CONNECT=connSeq[:connMap]
           connSeq  ==  connType[,connType]*
          connType  ==  cache|icp|proxy|master|https|vsap|direct|socks|udp
           connMap  ==  ProtoList[:dstHostList[:srcHostList]]
                    -- default: CONNECT="c,i,m,h,v,s,d:*:*:*"

SRCIF parameter*    ==  SRCIF=host[:[port][:connMap]]
           connMap  ==  ProtoList:dstHostList:srcHostList
                    --  default: SRCIF="*:*:*:*:*"

このパラメータは、複数のネットワークインタフェースを持つホストや、 パケットフィルタするファイアーウォールに隠されたホスト上で動作する DeleGate で役立ちます。

このパラメータで、それぞれのサーバへ接続する際の ソースアドレス（ネットワークインターフェースの）を指定します。 これは、DeleGate ホストが複数のネットワークインターフェースを持つ場合に役立ちます。 それは、SOCKS-DeleDate または、FTP-DeleGate により受け付けられる クライアント接続で使用するポートの指定にも使えます。

ほとんどの場合、特殊パターン "*" を host または、port に指定した場合、 IP アドレス、またはポート番号をワイルドカード指定します。 いくつかの場合、特殊パターン "*" は、 FTP データ接続 (PORT や PASV による) 用ポート、または、 SOCKS (BIND と UDP-ASSOCIATE) 用ポートのような、 プロトコルによって指定された必要なアドレスや、ポート番号に使われます。 ワイルドカードを IP アドレスと、ポート番号で明示的に指定するには、 それぞれ、host に "0.0.0.0" を、port に "0" を指定します。

例)

SRCIF="*:0:ftp-data" // FTP データ接続に無作為なポート番号を使用する
SRCIF="*:8020-8120:ftp-data" // 指定した範囲のポート番号を使用する
SRCIF="150.29.202.120:*:tcpbind" // SOCKS による受理で、指定アドレスを使用します。
SRCIF="150.29.202.120:*:udpbind" // SOCKS 上の UDP 中継で、指定アドレスを使用します。


要求に応じて割り当てられ、相手に通知された "ftp-data" 接続用のポート （ PORT により クライアントからサーバ、PASV によりサーバからクライアントに向けられた） は、"ftp-data-port" または、"ftp-data-pasv" により、それぞれを個別に制御できます。 PORT のためにサーバからクライアント、または、PASV のためのクライアントからサーバへ 確立されるデータ接続用のソースポートは、"ftp-data-src" によって制御できます。

TUNNEL parameter    ==  TUNNEL=tunnelType:script
        tunnelType == tty7
                    --  default: none

指定した場合、上流 DeleGate との通信は、 コマンドの標準入出力経由で、トンネルされます。 トンネルは、数種の経路を形成できます。 例えば、生のシリアルライン上で双方向通信が提供されているようなものです。 リモートホスト上の inetd から起動できる DeleGate への経路も使えます。

現状、tunnelType　は、"tty7" でなければならず、それは、 DeleGate 間の伝送が 7ビットストリームで行われることを意味します。 タイプが "tty7" の場合、トンネルを確立する方法を、 指定した SHIO スクリプトファイルに書いておきます。 配布パッケージに含まれる、"src/sample.shio" を参照して下さい。 スクリプトファイル名は、絶対パスまたは、 相対パス (LIBPATH で検索できるファイル名) のどちらかで指定する必要があります。 上流のトンネル用 DeleGate は、 SERVER="tunnel1" を指定して起動しなければなりません。

例) ログインダイアログなしで、トンネルを形成する。

TUNNEL=tty7:tunnel.shio
[content of tunnel.shio]
o rsh host delegated SERVER=tunnel1\n
i READY\r\n
=

例) ログインダイアログありで、トンネルを形成する。
TUNNEL=tty7:tunnel.shio
[content of tunnel.shio]
o telnet hostname\n
i login:BR> o username\n
i Password:
o password\n
i %
o delegated SERVER=tunnel1 \n
i READY\r
i \n
=

上記の例のように、SHIO スクリプト ファイルの最初の行は、 リモートサーバとの接続を確立するために、"o command\n" のような シェルコマンドである必要があります。 接続を確立するための他の方法として、"c host:port" を先頭行に書きます。 この場合、シェルや、シェルコマンドは実行されません。

PERMIT parameter*   ==  PERMIT=connMap
           connMap  ==  ProtoList:dstHostList:srcHostList
                    --  default: none

PERMIT パラメータで、この DeleGate が許可するアクセス方法を指定します。 アクセスは、srcHostList に含まれるクライアントホストから、 dstHostList に含まれるサーバホストに対して、ProtoList に含まれるプロトコルで行われた場合に許可されます。

複数の PERMIT パラメータが指定された場合、アクセスは、 少なくとも1つの PERMIT で指定された権限が許可されます。 PERMIT パラメータがない場合、アクセス許可は、 REMITTABLE，REACHABLE，RELIABLE パラメータによって明示されるか、 SERVER パラメータによる暗黙の指定によって、制御されます。

例) ローカルネット上のホストには無制限に許可し、その他ホストは、http://www のみ許可します

PERMIT="*:*:.localnet"
PERMIT="http:www:*"


ProtoList (dstHostList) 中の特殊パターン "*" は、 全ての許可されたプロトコル（サーバ） (REMITTABLE (REACHABLE) パラメータによって明示することもできます) を意味します。 これらパラメータは、可能となっている許可範囲を制限します。 プロトコル（サーバ）は、REMITTABLE (REACHABLE) パラメータによって、 明示的または暗黙の指定で許可されていない場合、使えません。 同様に、1複数の RELIABLE パラメータが明示的に与えられた場合、 これらは、PERMIT のsrcHostList 中にあるクライアントの許可範囲を制限します。

dstHostList で指定したホストは、"host:portNumList" のように ポート番号をつけることで、更に制限できます。 例) PERMIT="telnet:{*:23}:*" は、任意のホストに対する telnet を 標準ポート番号(23)でのみ許可することを意味します。

ProtoList 中のプロトコル名は、 "protocolName/portNumList/methodList" のようにポート番号と手段を使って変更でき、 プロトコルにおけるアクセス可能なポートと手段を制限できます。 例) 一連の PERMIT パラメータ PERMIT="ftp//readonly:Servers:Clients" PERMIT="ftp:*:*" は、 Servers に対する Client からのアップロードを禁止し、 他のサーバ・クライアントの組み合わせで、アップロードを許可することを意味します。

複数の DeleGate サーバが、MASTER や PROXY によって連結されている場合、 元クライアントの識別情報は、 最初（連結の入り口）の DeleGate サーバによって取得され、 上流 DeleGate サーバへ RIDENT パラメータを使用して転送でき、 また、PERMIT パラメータを使って検査されます。

REJECT parameter*   ==  REJECT=connMap
           connMap  ==  ProtoList:dstHostList:srcHostList
                    --  default: none

REJECT パラメータで、PERMIT と同じ書式で、 どのようなアクセスを拒否するか指定します。 アクセスを拒否する状況が例外的である場合、 PERMIT より便利で、 許可する時より記述を簡素化できます。

例) メールクライアントが、メールサーバ上のメッセージを削除できないようにします。

REJECT="pop//DELE:mail-server:mail-client"
REJECT="imap//EXPUNGE:mail-server:mail-client"

REMITTABLE parameter == REMITTABLE=ProtoList
                    -- default: REMITTABLE="*" - generalist 用
                    -- default: REMITTABLE="." - specialist 用

ProtoList に指定されたプロトコルのみが、 この DeleDate で許可されます。
generalist（SERVER="delegate" を指定した DeleGate) では、 デフォルトで全てのプロトコルを許可します。 specialist では、SERVER パラメータ ("." で表現可能) により指定されたプロトコルが、 デフォルトで許可されます。

プロトコル名の後ろに "/portNumList" がある場合、PortList に 指定されたポートのみが許可されます。 PortList には "/methodList" を付けることができ、 プロトコルで使える手段を制限できます。 現在、手段として、"readonly" のみが使えます。 例）REMITTABLE="ftp//readonly" は、 FTP サーバへのアップロードを禁止する、 "読み込み専用" FTP-DeleGate を生成します。

プロトコル固有のデフォルト:

generalist-DeleGate

REMITTABLE="*" -- 全てのプロトコルを許可します。

HTTP-DeleGate

REMITTABLE="http,https/{80,443},gopher,ftp,wais" -- HTTP プロキシに中継して欲しい通常のプロトコル

Telnet-DeleGate

REMITTABLE="telnet/23" -- 標準 telnet ポート (23) に向けたもののみに、アクセスを制限する。 この制限は REMITTABLE="telnet" のように指定することで、無効にできます。

例外:

現在の対象サーバが、 MOUNT="Path1 Proto://Server/Path2" のように、 MOUNT パラメータによって限定されている場合、Proto プロトコルは、 Server における目的プロトコルとして、 REMITTABLE による制限を無視して、自動的に許可されます。

最初の指定が、"+" の場合、それはデフォルトで許可されたプロトコルのリストを意味します。 例) SERVER=http で、REMITTABLE="+,-https/80,-wais,file" の場合、 REMITTABLE="http,https/443,gopher,ftp,file" を意味します。
注記：ここでの "https" は、SSLtunnel 上の 非 https プロトコルを検出して拒否します。 SSLtunnel 上で 任意のプロトコルを中継する場合、 REMITTABLE="+,ssltunnel" のように、 "https" の代わりに "ssltunnel" を指定します。

REACHABLE parameter* == REACHABLE=dstHostList
                    -- default: REACHABLE="*" (全てのホストに接続可能)

dstHostList に指定されたホスト（またはネットワーク）上のサーバに 向けられた要求のみ、DeleGate で受け付けます。 複数の REACHABLE パラメータを使用した場合、 その意味を確実なものにしなければなりません。

RELIABLE parameter* == RELIABLE=srcHostList
                    -- default: RELIABLE=".localnet"

srcHostList に指定されたホスト（またはネットワーク）上の クライアントから送られた要求のみ、 DeleGate で受け付けます。 デフォルトで、DeleGate ホストのローカルネット ( .localnet) 上のホストからのアクセスのみ許可されます。

これは、RELIABLE=Hosts1 RELIABLE=Hosts2 のような、 複数の RELIABLE パラメータを、 単一の RELIABLE="Hosts1,Hosts2" に、単純に結合したものと解釈しますが、 Hosts1 または、Hosts2 に、いくつかの、 否定、または、 合成演算子が含まれる場合、 "Hosts1 または Hosts2" を意味しません。 もし、この文章の意味が理解できない場合は、代わりに、 複数の PERMIT パラメータを使用することを推奨します。

RELAY parameter*    ==  RELAY=relayTypeList[:connMap]
     relayTypeList  ==  relayType[,relayType]*
         relayType  ==  proxy | delegate | vhost | no | nojava | noapplet
           connMap  ==  ProtoList:dstHostList:srcHostList
		    --	default: RELAY="delegate,vhost,nojava:*:*:.localnet"
				 RELAY="proxy:*:*:*"

このパラメータは、DeleGate がどのように、 HTTP プロキシサーバとして動作するかを制御します。 HTTP プロキシサーバの DeleGate は、2つの方法（プロキシモード）で動作します: 1つは、リクエスト中 の全 URL を受け付ける、 標準（CERN 互換）HTTP プロキシ ("proxy" relayType)、 もう一つは、要求で、/-_-URL を受け付け、 応答中の URL を書換える、 DeleGate オリジナルのプロキシ ("delegate" relayType)。 ":connMap" が付加された、 詳細な書式で利用可能なプロキシモードは、 サーバプロトコル，サーバホスト，クライアントホストの組み合わせによって分類できます。

RELAY="no" は、中継を行わない、元 HTTP サーバとして動作することを意味します。 (元 HTTP サーバは、プロキシ用の書式 (要求される URL は、絶対フォーマットで、フル書式や、"/-_-" 書式ではありません) ではない通常の書式での要求を受け付ける、通常のサーバです。)

"transparent-proxy (透過プロキシ)" と呼ばれる機能は、"RELAY=vhost" で有効にできます。 RELAY="vhost" は、任意の仮想ホストにも中継する、元 HTTP サーバに使用できます。 このオプションは、明示された MOUNT を指定せずに、 要求ヘッダ中の "Host:" フィールドで指し示された 任意の対象サーバに、 HTTP 要求を転送可能にします。 この自動転送は、要求された URL が MOUNT されていない場合のみ実行されますが、 ほとんどの DeleGate は ルート URL ("/*") 用の MOUNT パラメータが指定された 元サーバとして動作しているため、それほど使われそうにありません。

他の relayType と連結した "nojava" は、<APPLET>, <EMBED> および、<OBJECT> タグ を、relayType によって、 使用不能にします（<killed-TagName> に置き換えられます）。 "noapplet" をともなう場合、<APPLET> タグのみが使用不能になります。 RERAY パラメータにより、relayType "delegate" を使用可能にした場合、 上記、デフォルトである "nojava" の使用を強く推奨します。

例）

RELAY=no ... プロキシとして動作しない (元サーバのみ)
RELAY=proxy ... CERN準拠モードのみ
RELAY=delegate ... DeleGateモードのみ (/-_-URL)
RELAY=proxy,delegate ... CERN と DeleGate モードの両方
RELAY=proxy,noapplet ... プロキシによって中継される <APPLET> タグを抑制する

デフォルト:

"proxy" と "delegate" モードの両方は、".localnet" 上のユーザを許可し、 "proxy" モードのみの場合、他のユーザを許可します。

AUTH parameter*     ==  AUTH=what:authProto:who
                    --  default: none

who (誰）が what（何）をする権限を与える。 authProto に指定したプロトコルを使用して、ユーザを認証する。 プロトコルをサポートする場合、クライアントホストへの識別 (ident) プロトコルベースで、 "クライアントユーザは誰か" を識別します。 他の場合、FTP サーバを認証サーバとして使用するかもしれません。

HTTP-DeleGate の場合、(要求メッセージ中の) Authorization ヘッダ にある Username:Password で、 "私は誰”かを宣言します。ここでの Username は、 User@Host にもできます。
User, Host, Password のセットを得た後、 DeleGate は、 Host の（FTP）サーバに、 User と Password でログインを試みます。 成功した場合、 クライアントは User@Host で 認証されます。

現在、以下のカテゴリでの、 認証/権限付与がサポートされます。

-- 任意プロトコルの DeleGate の場合 --

AUTH="admin[:authServ[:[listOfUsers][:listOfHosts]]]"

HTTP (または HTTPS) で "http://delegateHost:Port/-/admin/" にアクセスすることで、 DeleGate のリモート設定/管理を可能にします。 ユーザが、authServ で認証され、かつ、listOfUsers に存在する場合、 そのユーザがリモートで管理することを可能にします。例えば、 AUTH=admin:-pam:user は、user が PAM で認証された場合に権限を与えます。 AUTH=admin は、AUTH="admin:-pam:%O" の省略形で、 "%O" は、この DeleGate プロセスの所有者を表わします。 AUTH=admin::user:pass での、空の authServ は、 ユーザ名 user と、パスワード pass で権限を与えることを意味します。 ":listOfHosts" を指定した場合、権限を与えるユーザは、 一覧にあるクライアントホストからアクセスしなければなりません。
さまざまなプロトコルの DeleGate (SERVER=protocol にかかわらず) は、 "-PuserPort,adminPort/admin" のように、 "/admin" 修飾子をもつ管理専用ポートを指定することで、 リモート管理用ポートを持つことができます。
例)

SERVER=pop -P110,9110/admin AUTH=admin::admin:password
この DeleGate (POP プロキシとしての) のリモート管理用 URL は、 "https://delegateHost:9110/-/admin/" です。

-- FTP サーバ と FTP/HTTP ゲートウェイの場合 --

AUTH="anonftp:*:passWord"

指定した場合、DeleGateは、クライアントユーザ の E-mail アドレス（ユーザによって宣言された）を、匿名パスワードとして、 対象 FTP サーバに転送します。 この AUTH を指定しない場合、 HTTP-DeleGate は、デフォルトで、ADMIN の E-Mail アドレスを送信します。
E-mail アドレス書式は、user@host でなければならず、他の場合 (host 部分がない)、 FTP ログインは DeleGate により拒否されます。 HTTP-DeleGate は、Authorization ヘッダの Username 部として、 彼/彼女の E-Mail アドレスを宣言するため、 匿名ユーザに問い合わせます。 passWord フィールドに "*" を指定した場合（すなわち、AUTH="annonftp:*:*"）、 Authorization ヘッダのすべての Password を受理します。
FTP-DeleGate の場合、匿名ユーザでは、E-mail アドレスを パスワード（PASS コマンドで）として与えられなければいけません。 また、パスワードは、passWord のつき合わせにも使われます。
現実装では、2番目のフィールドは "*" でなければなりません。

AUTH="anonftp:smtp-vrfy:*"

指定した場合、DeleGate 匿名ユーザによって与えられる、 E-mailアドレスの正当性を確認（SMTP プロトコルを使用）します。 HTTP-DeleGate の場合、認証での Username 部として、E-mail アドレスが必要です。 FTP-DeleGate の場合、匿名ユーザのパスワードとして与えることが必要です。 この AUTH を指定した場合、無効な E-mail アドレスを拒否できます。 アドレスが有効で、"user@host" のような書式の場合、 自動的に、FQDN な書式である、"user@host.domain" のように拡張されます。
3番目のフィールドが "-" である場合（すなわち、AUTH="anonftp:smtp-vrfy:-@*"） "host.domain" 上のメールサーバに対する接続のみがチェックされます。

-- プロキシと 元 HTTP サーバの場合 --

AUTH=proxy:{ident|auth|pauth}

HTTPプロキシサーバとしてのDeleGateにおける、 識別/認証プロトコルを指定します。 このパラメータは、ユーザのアクセス制御が PERMIT か RELIABLE に指定してある場合のみ、 確認されます。

ident	-- 識別プロトコル [default]
pauth	-- Proxy-Authorization フィールド "user@host:password" を使用
auth	-- Authorization フィールド "user@host:password" を使用

例:

AUTH=proxy:auth PERMIT="*:*:{*,!?}@*"
// 彼/彼女が識別できる限り、全てのホストの全てのユーザを許可。

注記：

クライアントがプロキシ認証をサポートしていない場合、 認証に "proxy:auth" を使用することが強制されます。 このような場合、クライアントは、 認証要求のあるリソースにアクセスできません。

FTP サーバベースの認証を使用する場合、 要求される認証情報としてのユーザ名は、 "user@host.domain" のような、E-mail アドレスです。 なお、これは通常、AUTH="anonftp" と AUTH="proxy" 両方で使えます。

AUTHORIZER parameter* == AUTHORIZER=authServList[@realmValue][:connMap]
       authServList  ==	authServ[,authServ]* | & | *
	   authServ  ==  authHost[/portNum][(reprUser)]
	   authHost  ==	hostName | hostAddr
	 realmValue  == word | {words separated with space}
	    connMap  ==	ProtoList:dstHostList:srcHostList
		     -- default: none
		     -- 制限: Telnet, FTP, NNTP, SMTP, IMAP, Socks, SockMux および、HTTP に、適用可能

認証と権限付与に使うサーバを指定します ("auth-server")。 指定した場合、アプリケーションプロトコル独自の ユーザ名/パスワードを送信することによって auth-server での認証が成功しない限り、 クライアントからのアクセスは許可されません。 "-none" と "-never" の、2つの特別な authServ は、 不要な認証を生成しません。 authServ の後ろに "(reprUser)" がつく場合、 authServ で認証が成功したユーザは、 代表ユーザ reprUser として表示されます。

注記: auth-server により認証されたクライアントは、そのクライアントホストが、 他のアクセス制御 (RELIABLE と PERMIT) を通過しない場合、許可されません。 認証された全クライアントを、そのホストを無視して許可したい場合、 RELIABLE="-a/*" のように指定します。 この用途で、RELIABLE="*" も動作しますが、DeleGate と設定変更で使うのは危険です。

connMap に追加するとき、認証サーバは、 対象プロトコル、サーバホスト、クライアントホストの組合わせで、条件付で選択できます。 authServList は、認証サーバ名、または、認証サーバのホスト名リストです。 authServList の後ろに、"@realmValue" が付く場合、 その値は、HTTP-DeleGate における、保護空間の領域指定に使えます。 それは、それぞれの MOUNT ポイントに対して、マウントオプション "realm=realmValue" で上書き可能です。

現在、リモート認証/権限付与サーバのプロトコルは、 FTP プロトコルの USER/PASS コマンドです。 このように、DeleGate の認証/権限付与サーバには、 任意の実在の FTP サーバを使用できます。 他の方法として、DeleGate 自らが持つ 認証/権限付与のためのリストは、 -Fauth 機能により管理できます。

次のように、組み込み auth-server を authServ として使用します:

-none -- 認証の有無を無視して許可。

-never -- 認証の有無を無視して不許可。

-any -- ユーザ名 + パスワードの任意の組み合わせが許可されます。

-anonftp -- ユーザ名が "ftp" または、"anonymous" で、パスワードに "@" が含まれる。

-dgauth[.realm] -- パスワードは、ダイジェストとして安全に送信される(HTTP と APOP)

-pam/service -- ユーザ名とパスワードは、PAM でチェックされます。

-list{user:pass,...} -- リスト中に、ユーザ名とパスワードのペアを含みます。

-cmd{cmd arg ...}{ENV=val ...} -- 認証用外部コマンド

DGAuth: -dgauth[.realm][{user:pass,...}]


各アプリケーションプロトコル独自のダイジェストパスワードを基本とした認証スキームで、 "AUTHORIZER=-dgauth" を指定することで有効になります。 この種の認証スキームは、少なくとも、APOP プロキシや、 HTTP Digest/Basic 変換器が行い、元の平文テキストのパスワードが 必要です。 そのようなことを簡単に行うには、次のように、 対のユーザ名とパスワードの一覧を直接指定します。 -dgauth{user1:pass1,user2:pass2,...} 他のパスワードを保存する方法は、次のように DeleGate で指定します "-Fauth -a username:password -dgauth"。 -dgauth 用パスワードは暗号化された形で格納され、 暗号化のためのキーワードが必要となります。 キーワードは、CRYPT=pass:keyword で指定するか、 後で対話形式で指定します。 他の場合、DGAuth は、リモート DGAuth サーバ に委任できます。 DGAuth サーバ. DGAuth は、認証によって開始されたセッションの間、 保持された識別と同様のセッション識別子を生成し、 そのあとで、CFI/CGI プログラムに、環境変数 "X_DIGEST_SESSION" で渡され、 さらに、PROTOLOG でログを取ることができます。

例）

//ダイジェスト認証をクライアントと行う HTTP プロキシ、または、サーバ
SERVER=http AUTHORIZER=-dgauth
// クライアントと、APOP 認証を行う、POP プロキシ
SERVER=pop MOUNT="* pop://server/*" AUTHORIZER=-dgauth


PAM: -pam[/service]


プラットフォーム上で PAM (Pluggable Authentication Modules) が使えるなら、 以下の書式で認証に使うことができます。 AUTHORZIER="-pam/service", 例としては、AUTHORIZER="-pam/passwd", AUTHORIZER="-pam/ftp" 等です。
注記: ほとんどの PAM 認証の実行には、Unix 上のスーパーユーザ特権 (OWNER="root" オプション付加) が必要です。 しかし、DGROOT/subin/ に 外部プログラム "dgpam" をインストールすることで、 スーパーユーザ特権をともなう DeleGate を実行することを避けられます。 PAM 認証は、リモート PAM サーバに委任することもできます。

LIST: -list{user[:pass],...}


一覧の要素 は、":pass" が無い user だけでもよく、 これは、user 名だけをつき合わせ、パスワードは無視することを意味します。 "-list{user:pass,...}" 内で、 "[date+format]"　を user と pass に置き換えて使用できます。 例) AUTHORIZER="-list{guest:[date+%y%m]}" は、 ユーザ名 "guest" を 2004年5月にパスワード "0405" で受け入れることを意味します。

例)

AUTHORIZER="-list{u1:p1,u2:p2}(local),-pam,-none(anonymous)"
// ユーザは、"local" または PAM でのユーザ、またはその他の "anonymous"
// として認証されます。


CMD: -cmd{cmd arg ...}[{ENV=val ...}[{input-pattern}]]

認証を外部コマンド cmd で行う。 外部コマンドに渡される認証用の値は、ユーザ名用 %U 及び、 パスワード用 %P のような、書式 "%format" で指定します。 パラメータは、コマンドライン引数、環境変数または、コマンドの標準入力に渡せます。 環境変数と、input-pattern が、 AUTHORIZER="-cmd{cmd} のように省略されるなら、 AUTHORIZER="-cmd{cmd}{DG_USER=%U DG_PASS=%P}{USER %U\nPASS %P\n}" として暗黙で指定されたかのように、ユーザ名とパスワードの組がデフォルトで渡されます。

コマンドによる認証の結果は、その出力文字列か、終了コードで表されます。 コマンドはその標準出力に結果を FTP プロトコルでのステータス応答形式で表し、 成功時 "230"、失敗時 "530" です。 他の場合、プロセスの終了コードが使われ、0 が成功、0 以外が失敗です。

例) ユーザ名を引数で渡し、パスワードを環境変数で渡す。

AUTHORIZER="-cmd{myauth %U}{MYPASS=%P}"

[myauth コマンドの内容]
#!/bin/sh
if [ "$1" = "user1" -a "$MYPASS" = "pass1" ]; then
  echo "230 SUCCESS"
else
  echo "530 FAILURE"
fi


認証されたユーザに権限を与えない必要があるときのみ、 authServList として、以下の特別な名前が便利でしょう。

"&" -- クライアントホスト (クライアントホスト上のユーザ名が必要)
"*" -- "user@authHost" としてのクライアントで指定された、 任意の authHost

例)

// local.domain 以外のクライアントは認証が必要
SERVER=telnet AUTHORIZER="&:::!*.local.domain"
// ユーザが localhost で認証された場合、全てのクライアントを許可
SERVER=telnet AUTHORIZER="localhost" RELIABLE="*"
// "-Fauth" により管理される、 DeleGate 自身の "-socksusers" リストを使用する。
SERVER=socks AUTHORIZER=-socks.users

MYAUTH parameter*   ==  MYAUTH=username:password[:connMap]
                    --  default: none
                    --  制限: Socks, VSAP, SMTP, および HTTP のみに適用可能

上流 サーバ/プロキシに送る認証情報を指定します。 username または password に含まれる特殊文字は、 "%XX" でエスケープする必要があります。 ここでの、XX は、文字コードの16進表記です (ascii(7)を見てください)。 エスケープできる特殊文字は: TAB ("%09"), SPACE ("%20"), '"' ("%22"), '%' ("%25"), ':' ("%3A"), '{' ("%7B"), '}' ("%7D").

クライアントから送られた、ユーザ名+パスワードの組は、 MYAUTH="%U:%P" でサーバに転送できます。 (HTTP および、FTP でのみ使えます)

注記: プロキシとの認証では、MYAUTH の代わりに認証情報を含むゲートウェイ URL を FORWARD とともに使用することが強く推奨されます。 例） SOCKS=host:port と MYAUTH=user:pass は、 FORWARD=socks://user:pass@host:port と、表現できます。

例)

MYAUTH=userS:passS:socks
MYAUTH=userV:passV:vsap
MYAUTH=userM:passM:smtp:smtpserverM
MYAUTH=userH:passH:http:httpserverH
MYAUTH=userP:passP:http-proxy:httpproxyP

RIDENT parameter    ==  RIDENT=ridentType[,ridentType]*
      ridentType == client|server
                    --  default: none

MAXIMA parameter*   ==  MAXIMA=what:number,...
                    --  default: MAXIMA=listen:20,ftpcc:2,...

プロセス数や接続数などのリソース使用に関する最大値を指定します。

randstack	--	セキュリティ用スタックベースのランダマイズレンジ [32]
randenv	--	環境変数ベースのランダマイズレンジ [1024]
randfd	--	クライアントソケットファイルディスクリプタのランダマイズレンジ [32]
listen	--	入り口ポートキューの最大サイズ [20]
delegated	--	一度に実行できる DeleGate プロセス数の最大値 [64]
service	--	delegated プロセス単位の最大サービス数 [無制限]
standby	--	スタンバイプロセスの最大数 [16]
conpch	--	クライアントホスト単位の最大同時接続数 [無制限]
ftpcc	--	サーバからホストに対する FTP 接続キャッシュの最大数 [16]
nntpcc	--	サーバからホストに対する NNTP 接続キャッシュの最大数[16]
http-cka	--	(HTTPCONF=max-cka で置き換えられました)
http-ckapch	--	(HTTPCONF=max-ckapch で置き換えられました)
udprelay	--	並列 UDPrelay クライアントの最大数[256]
winmtu	--	Win32 における send() 単位の最大値[1024]

TIMEOUT parameter*  ==  TIMEOUT=what:seconds,...
                    -- default: TIMEOUT=dns:10,acc:10,con:10,lin:30,...

what (何) に対するタイムアウト期間（デフォルトは秒）を指定します。 タイムアウト値 "0" は、"タイムアウトしない"（無制限）を意味します。 期間の単位は、デフォルトで "秒" ですが、 1d (日)、1h (時)、1m (分) のように変更できます。

shutout	--	致命的エラーでセットされた、シャットアウトを解除する [1800]
dns	--	DNS 参照 [10]
dnsinv	--	DNS 逆引き参照 [6]
acc	--	クライアントの受入れ (FTP データ接続含む) [10]
con	--	サーバへの接続 [10]
lin	--	出力のための LINGER [30]
dgnonce	--	AUTHORIZER=-dgauth 用 ("nonce" の寿命) [60]
ident	--	Ident サーバへの接続 [1]
rident	--	RIDENT=client 情報の受取り [1.0]
io	--	一般入出力 (データ転送ではない) [600]
silence	--	クライアント・サーバどちらからもデータ送信無し [0] (tcprelay のみに適用)
hello	--	MASTER との HELLO ネゴシエーション [30]
login	--	プロキシへのログイン (Telnet, FTP, SOCKS) [60]
daemon	--	delegated [無制限]
restart	--	指定した期間毎に再起動 [無制限]
standby	--	次のクライアントのため delegated が待機する時間 [30]
takeover	--	クライアント切断後ダウンロード内容をキャッシュに書込むまで [5] (ダウンロードを開始した、クライアントの切断後)
ftpcc	--	FTP 接続キャッシュのキープアライブ [120]
nntpcc	--	NNTP 接続キャッシュのキープアライブ [300]
http-cka	--	(HTTPCONF=tout-cka に置き換えられました)
cfistat	--	-s,filter からの 状態情報用 [1.0]

DELAY parameter*    ==  DELAY=what:seconds
                    --  default: DELAY=reject:60,unknown:60,...

MOUNT parameter*    == MOUNT="vURL rURL [MountOptions]"
                    -- default: MOUNT="/* SERVER_URL*"

vURL と rURL 間の割り当てを行います。 vURL と一致したクライアントからの要求メッセージ中の URL は、 rURL に書換えられ、サーバに転送されます。 また、rURL と一致したサーバからの応答メッセージ中の URL は、 vURL に書換えられ、クライアントに転送されます。 それぞれのプロトコルにおける MOUNT による書換えは次のようになっています:

HTTP -- URLまたはその一部分が、ヘッダ や HTML ボディ(タグ) にある場合

FTP -- コマンド中の、ファイル名とステータス応答

NNTP -- コマンド中の、ニュースグループ名とステータス応答、およびユーザデータ (ヘッダ)

POP -- USER, PASS, APOP コマンド中のユーザとホスト名

IMAP -- LOGIN コマンド中のユーザとホスト名

SMTP -- RCPT コマンド中のメールアドレス

Telnet -- 対象サーバのホスト名とポート番号

LDAP -- 要求/応答中のベースオブジェクト名

vURL が "*" で終わる場合、 部分的に一致したパスも書換えられます。 rURL が "*" で終わる場合、 部分的に一致したパスの残り部分は、そのまま rURL の後にコピーされます。

例) HTTP-DeleGate での MOUNT

MOUNT="/abc/* http://host/*"
// "/abc/def" と "http://host/def" を相互に書換える

vURL か rURL に "=" を指定した場合、 マウントは、リクエスト中の vURL を書換えない、 または、 応答中の rURL を書換えるのと同じです。

対象サーバのポート番号 (rURL において) には、 "-" か "+" が前置きでき、 これは、SERVER パラメータに設定した入り口ポート番号に対して、 動的に決定したオフセットを与えます。

rURL が "file:path" で path が相対の場合、 データファイルは、DGROOT ディレクトリ、 または DATAPATH に設定された ディレクトリ内で検索されます。 rURL が "vurl:rURL" のように前置きされるなら、 vURL から rURL への書き換えられた URL(要求メッセージ中の) は、他の MOUNT で再度書き換えられます。 この再帰的な MOUNT は、rURL to vURL への応答データ内の URL には、 適用されないので、応答中の URL が逆書き換えされることが、さらに期待されるような、 HTTP では期待の動作はしません。

例) 再帰的な MOUNT

MOUNT="/x/* vurl:/f/x/*"
MOUNT="/y/* vurl:/f/y/*"
MOUNT="/f/* ftp://server/*"
// "/x/path" は "ftp://server/x/path" に書き換えられます
// "ftp://server/x/path" は "/f/x/path" に書き換えられます


省略形

設定を簡単で再利用可能にするために、 URL の特別な省略形を MOUNT パラメータで使用できます。 protocol-name://host-name:port-number/url-path からなる rURL 中の protocol-name, host-name, port-number に "=" を指定した場合、 それは、DeleGate 自身をあらわします (すなわち vURL 中のそれ)。 URL が "//" で始まる場合、更なる省略形で、 "///path" は "=://=:=/path" を意味し (プロトコル,ホスト,ポートが同じ)、 また、 "//serv..." は "=://serv..." を意味します (同じプロトコル)。

省略された host-name と、port-number は、 存在する場合、仮想ホスト（HTTP の Host: フィールドで与えられた）の、 または、クライアントとの実インタフェースのそれに置き換えられます。 実インタフェースを明示的に指定する場合、"-P" を "http://-P/path" のように、"host-name:port-number" 部分に使用します。

例） MOUNT パラメータ中の rURL の省略形

// DeleGate のパラメータ： SERVER=http -Pdhost:9080 ...
// 要求された URL: http://vhost:9080/x/
MOUNT="/x/* =://=:=/y/*" -> http://vhost:9080/y/
MOUNT="/x/* ///y/*" -> (上記の省略形)
MOUNT="/x/* //-P/y/*" -> http://dhost:9080/y/
MOUNT="/x/* =://serv/y/*" -> http://serv:80/y/
MOUNT="/x/* //serv/y/*" -> (上記の省略形)
MOUNT="/x/* //serv:=/y/*" -> http://serv:9080/y/
MOUNT="/x/* //=:9088/y/*" -> http://vhost:9088/y/
MOUNT="/x/* https://=/y/*" -> https://vhost:443/y/


マッチングと書換えの複合

vURL と、rURL のパターンの後に "*%" がつく場合、 scanf(3) と似た書式で指定した複合マッチングのためのパターンを表します。 それぞれの書式指定は、"%" に続く指定（"%c", "%[a-z]" など）からなります。 拡張書式 "%S" は、隣接したキャラクタにより決定される変数を意味します。 すなわち "%Sx" は "%[^x]x" を意味します: 例) "%S." は "%[^.]." および "%S/" は "%[^/]/" rURL 中の "%(N)" は、 vURL 中の N 番目の 要素の複製を意味します。 vURL パターンが "$" キャラクタで終わる場合、 URL 文字列末端と完全に一致する必要があります。

例） 複合マッチングと書き換え

// 要求された URL: http://dhost/x/abc/def
MOUNT="/x/*%S/%S ///y/*%S.%S" -> http://dhost/y/abc.def
MOUNT="/x/*%S/%S ///y/*%(1)/%(0)" -> http://dhost/y/def/abc
MOUNT="/x/*%1[a-z]%S http://w/*%S/%S" -> http://w/a/bc/def

MountOptions == option[,option]*

MountOptions は、オプションのリストで、条件付 MOUNT や、 いくつかの機能を、特定の MOUNT した URL のみに利かせます。 それらのいくつかは、さまざまなプロトコル共通で、 他のものは、プロトコル ( HTTP, NNTP ) に特化しています。

条件: 最初のオプショングループは、MOUNT をソースと対象 (クライアントとサーバ) により条件的に行います。 MOUNT パラメータに、 1つ以上の条件を含む MountOption を指定した場合、 全ての条件が真にならない限り、MOUNT は無視されます。

from={HostList} -- クライアントから

クライアントが HostList に含まれる場合、真。

via={HostList} -- ホスト経由。

経路中で1つ以上の、HostList に含まれる ホストを経由した場合、真。

path={HostList} -- ホストを通過してきた

HostList 中に含まれる全てのホストを経由してきた場合、真。

auth={HostList] -- ホストによって認証された

パスワードベースの認証が、HostList で指定した AUTHORIZER ホストで成功した場合、真。

withssl

クライアント側の接続が、SSL か TLS で暗号化されている場合、真。

host={HostList} -- ホストとクライアントを結ぶインターフェース

クライアントが、HostList で指定された、 ネットワークインターフェース経由で DeleGate と接続した場合、 真。
注記： このオプションは、 任意のクライアント側プロトコルに適用可能で、 HTTP-DeleGate だけではなく、FTP, POP, NNTP, などのための DeleGate でも、 クライアント側のインターフェース（他と区別できる単一のIPアドレスを持つ場合）を基づき、 対象サーバを切り替えることができます。
DeleGate が、元サーバとして動作し、要求メッセージ中の仮想ホスト名が、 "Host: host" として見えている場合、仮想ホスト名は、実ホスト名より前に検査されます。 複数の仮想名が、同じ IP アドレスに関連付けされている場合、 "host=-hostname" のように "-" を仮想ホスト名の前に付けることで、仮想名を区別します。

dst={HostList} -- サーバに対して

対象ホストが HostList に含まれる場合、真。 このオプションは、 MOUNT の右側に "=" が使用されている場合に有効です。

direction=Direction -- 要求または、応答

MOUNT パラメータが、以下のどれかで 指定された Direction (方向) に適用されている場合、真:

fo -- 順方向のみ適用 (要求の書換え)

bo -- 逆方向のみ適用 (応答の書換え)

bif -- 順方向に適用している場合、逆方向に適用

-f,conditionList -- 要求書換え時にのみ条件を適用する

-b,conditionList -- 応答書換え時にのみ条件を適用する

-f.condition -- 要求書換え時にのみ単一の条件を適用する

-b.condition -- 応答書換え時にのみ単一の条件を適用する

pri=signedFloatNumber -- この MOUNT パラメータの優先順位

大きい優先順位値を持つ MOUNT パラメータが、他の優先順位の低いものより 優先して試されます。 デフォルト優先順位値は、ゼロです。

nocase -- URL パス突き合わせで、大文字小文字を区別しません。

これら HostList は、host:port のリストでなければならず、 ここでの :port 部分は、特に気にしない場合省略できます。 host 部は、"*" で置換えでき、 その場合ネットワークインターフェースの違いを気にしません。

例)

// クライアントがどのインターフェースからきたかによって、MOUNTを切りかえる
MOUNT="* URL1 host=this-host"
MOUNT="* URL2 host=localhost"
// クライアントがどのポートにアクセスしたかによって、MOUNT を切り替える
-P70,80
MOUNT="* URL1 host=*:70"
MOUNT="* URL2 host=*:80"


制御系: オプションの2番目のグループは、局所的な MOUNT ポイントに 対する DeleGate の動作を制御します。

public -- パブリックアクセスを許可

この MOUNT ポイントには、いかなるアクセス制御 (PERMIT などによる) も利かせない。

rident[=no] -- RIDENT 情報をサーバに転送します。

RIDENT=server パラメータにかかわらず、 RIDENT 情報をマウントされたサーバに転送 (または 転送停止) します。

ro -- 読込みのみ許可

NNTP (POSTコマンドを無効化) と、元 FTP (デフォルト) に使えます。

rw -- 読み書き両方を許可

元 FTP-DeleGate のローカルファイルへの書込み許可。

cache=no -- キャッシュを無効化

この MOUNT ポイントのサーバに対して、どんなキャッシュの使用も無効にします。

expire=period -- キャッシュの有効期間

MOUNT ポイントの有効期限 (EXPIRE パラメータに優先する)。

expires=period -- 各応答の有効期限

指定した場合、 各 HTTP 応答メッセージ中に、"Expires:" フィールドが追加されます。 period が "expire=+1d" のように、'+' または、'-' で始まる場合で、 なおかつ、もとのメッセージが、 "Expires:" ヘッダをもっている場合、 有効期限の日付は、もとのそれに対する相対値となります。

ftocl=filterCommand -- 外部フィルタを利かせる

MOUNT ポイントにフィルタを利かせる (FTOCL パラメータに優先する)。

charcode=charCode -- コード変換

この MOUNT ポイントに対してのコード変換を指定します (CHARCODE パラメータに優先する)。

proxy=host:port -- 上流プロキシサーバ

master=host:port -- 上流 MASTER-DeleGate

グローバルな MASTER や PROXY パラメータで指定されたものに代えて、 MOUNT ポイントに対して使用する上流プロキシサーバ。

URICONV parameter*  ==  URICONV={convSpec|defElem|defAttr}
          convSpec  ==  convList:attrList
           defElem  ==  defelem:+,elemnameList
           defAttr  ==  defattr:+,attrnameList
                    -- default: URICONV=dump で見られます。

BASEURL parameter   ==  BASEURL=URL
                    --  default: none

DELEGATE parameter  ==  DELEGATE=gwHost:Port[:ProtoList]
                    --  default: DELEGATE=currentHost:currentPort

このパラメータは、大部分が、BASEURL、RELAY、URICONV パラメータに取って代わられると思います。

元々、このパラメータは、 gateway-_-URL をともなう URL (または、ポインタ) や、proto://gwHost:Port/-_-URL (この gwHost:Port部は、DeleGateによって生成され、埋め込まれたものです) 表記によって書換えられた、CERN HTTP タイプではないプロキシ (gopher プロキシ含む) のためのプロキシモードを制御するために取り入れられました。
このパラメータは、gwHost:Port 部の表現をカスタマイズするために 取り入れられました。 これは、この DeleGate の入り口ポートを表し、 クライアントから解決可能で到達可能でなければなりません。 もっとも一般的な指定は、gwHost のデフォルト値は、 この DeleGate ホストの現ネットワークインターフェースで、 現クライアントはこれを経由し、この DeleGate に到達させ、 また、生の IP アドレスで、表現します。 これにより、クライアントが DeleGate のホスト名解決法を知らなくても、 DeleGate に到達可能になります。
例外的に、入り口ポートが、"-Phost:port”のように ネットワークインターフェースを明示して指定された場合、 DELEGATE のデフォルト値は、host:port になります。
オプションの ProtoList を指定することで、 このプロキシでのプロトコルに制限をかけることができます。 応答メッセージ中の URL (ポインタ) は、 "proto://gwHost:Port/-_-" を前置きして、書換えられます。 そのため、ProtoList にプロトコルが含まれる場合、要求は再びこの DeleGate (gwHost:Portの) に向けられます。

DELEGATE="-:0:-all" のように、存在しない入り口ポートと、 空の ProtoList を指定することで、プロキシモードを使用不能にできます。 RELAY パラメータを使用することで、もっと、簡単に実現できますが、 最近のバージョンでは、デフォルトで、無効になっています。

COUNTER parameter*  ==  COUNTER=listOfCounterControl
    counterControl  ==  do | total | acc | ssi | ref | err | ro | no | mntpV
                    --  default: COUNTER=no
                    --  制限: HTTP, SMTP, FTP, DNS に適用可能

アクセスカウンタの使用法を指定する。
(注記: DeleGate/9.X におけるカウンタの実装は試験的なものなので、 カウンタファイルの位置や書式は将来変更され、互換性がなくなるかもしれません)

    do -- "total,acc,ssi,ref,err" を含む全カウンタを有効にする
    total -- このサーバの総ヒット数カウンタを有効にする
    acc -- 各 URL 毎のそれぞれのアクセスカウンタを有効にする
    ssi -- SSI ( .shtml 内の PAGE_COUNT ) のみ、カウンタを有効にする
    err -- エラーカウンタを有効にする (SMTP用)
    ref -- HTTP "Referer:" での リファラカウンタを有効にする
    ro -- 読込専用でカウンタを有効にする
    no -- カウンタを無効にする [初期値]
    mntpV -- 各 URL の代わりに MOUNT ポイント ( vURL ) のカウンタを使う

COUNTER="do" で有効にした場合、各対象 URL に対する全要求、 全リファラ、全エラーのアクセスカウンタが加算されます。 COUNTER="total" で有効にした場合、全要求に対するアクセスカウンタが 加算されます。 "acc" で有効にした場合、各対象 URL に対する全要求に 対するアクセスカウンタが加算されます。 "ssi" で有効にした場合、SSI PAGE_COUNT 参照を 含む SHTML ページの URL のカウンタがページアクセス時に加算されます。 "ref" で有効にした場合、HTTP "Referer:" フィールド内の URL の リファラカウンタが加算されます。

それぞれのアクセスカウンタは、"ADMDIR/counts/access/URL#count" にあるファイルに保存されます。それぞれのカウンタファイルは、 ASCII 10進数形式でのアクセス数で構成された行で始まり、 手動で、初期化/編集できます。 行には、3つの数を含めることができ、1つ目はアクセス数の総合計で、 2つ目は、同一クライアントからの複数回アクセスを除くアクセス数で、 3つ目は、最後の10クライアントからの複数回アクセスを除いたアクセス数です。 それぞれのカウントは、%T, %U, %V それぞれ、後述の書式文字列に置き換えられます。

カウンタは、PAGE_COUNT または、COUNTER 値として、 SSI を使うことで指定した書式で表示できます。 タグ内に "url" を指定しない場合、タグを含む SHTML ファイルの URL を意味します。 カウンタ値は、下記の "fmt=..." 属性であたえられた書式文字列で 印刷可能キャラクタ文字列に変換にします。 書式の初期値は、"%T" です。

書式指定子:

    %T  -- 総アクセス数
    %U  -- 単一クライアントからの繰り返しアクセスを除いた数
    %V  -- 最後の 10 クライアントからの繰り返しアクセスを除いた数
    %N  -- ネットワーク数 [ 0 - 1023 ]
    %M  -- ネットワークマップ
    %L  -- 最後の 10 クライアントの一覧
    %mT %mU %mX -- 1日の数
    %mHT %mHU %mHX -- 1時間の数
    %tC  -- 最初のアクセス時間 (カウンタ生成)
    %tT %tU %tV -- それぞれのカウントが更新された時間

指定子 %N は、クライアント群のネットワーク数に置き換えられ、 それぞれのネットワークは、10 ビットのネットマスク (0xFFC00000 または 255.192.0.0/10) を伴います。 これは、全 IP4 アドレス空間を 1024 ネットワークに分割することを意味します。 したがって、%N は、部分単位の範囲で、アドレス空間上に存在する ネットワーク上のクライアントの分布を表します。 %M は、クライアントの分布を可視マップで表示します。

例)

    <!--#echo var=PAGE_COUNT -->
    <!--#echo var=COUNTER -->
    <!--#echo var=COUNTER fmt="%T hits since %tC" -->
    <!--#echo var=COUNTER url="URL" -->
    <!--#echo var=COUNTER fmt="%U/%T hits" -->
    <!--#echo var=COUNTER url="URL" fmt="%U/%T hits" -->

総合計は、TOTAL_HITS タグまたは "sel=total" を伴う COUNTER タグで表示されます。 URL のリファラカウンタは、HTTP 要求の "Referer:" ヘッダに URL がある場合加算されます。 それぞれのリファラカウンタは、 "ADMDIR/counts/referer/URL#count-ref" に保存されます。 リファラカウンタは、PAGE_COUNT タグ内の "sel=ref" 属性 で表示できます。

例)

    <!--#echo var=TOTAL_HITS -->
    <!--#echo var=COUNTER sel=total -->
    <!--#echo var=COUNTER url="URL" fmt="%U/%T refs" sel=ref -->

各 URL に対するカウンタを全て有効にするのは、不経済で/か不要かもしれません。 代表として MOUNT ポイントのカウンタを使用するか、 サーバーの総合計アクセスカウンタだけを使用うことで、 カウンタを削減できます。 以下の例では、全ての URL のカウンタがデフォルトで (COUNTER=do で) 有効です。 /srv1/ 以下の URL のカウンタは、/srv1/ のカウンタで表され、 さらに、サーバの 総合計と、SSI カウンタは、/mine/ 以下の URL でだけ有効になります。 例で示されるように、COUNTER は、 デフォルト値を COUNTER パラメータから引き継ぐように、 MountOptionとして指定することができます。

例)

    COUNTER=do
    MOUNT="/srv1/* http://srv1/*  COUNTER=mntpV"
    MOUNT="/mine/* file:dirpath/* COUNTER=no,total,ssi"

CACHE parameter*    ==  CACHE=cacheControl[,cacheControl]*[:connMap]
      cacheControl  ==  do | no | ro
           connMap  ==  ProtoList[:[dstHostList][:srcHostList]]
                    --  default: none
                    --  制限: HTTP, FTP, NNTP, Gopher に適用されます。

キャッシュの使用法を制限します。

    do -- CACHEDIR がなければ作成します (キャッシュを使用可能にするため)
    no -- キャッシュ無効
    ro -- キャッシュを読込専用にする

キャッシュはデフォルトで使用可能です。 キャッシュは、CACHEDIR ディレクトリが存在しないか、DeleGateが、 読込できない、書込みできない、または、 CACHE="no" が指定されている、または、"cache" が、 CONNECT に含まれない場合、無効になります。

EXPIRE parameter*   ==  EXPIRE=validity[/custody][:connMap]
           connMap  ==  ProtoList:dstHostList:srcHostList
          validity  ==  period
           custody  ==  period
            period  ==  Num[d|h|m|s]
                    --  default: EXPIRE=1h

CACHEFILE parameter ==  CACHEFILE=fileNameSpec
                    -- default: CACHEFILE='$[server:%P/%L/%p]'

ICP parameter*      ==   ICP=icpServerList[:icpServerSpec[:connMap]]
     icpServerList  ==  icpServer[,icpServer]*
         icpServer  ==  icpHost[/icpType/proxyPort/icpPort]
     icpServerSpec  ==  icpOptions:proxyPort:icpPort
           connMap  ==  ProtoList:dstHostList:srcHostList
                    --  default: none
                    --  制限: {HTTP,FTP}-DeleGate に対し適用

CHARCODE parameter* ==  CHARCODE=[inputCode/]outputCode[:[tosv][:connMap]]
        outputCode  ==  charCode
          charCode  ==  iso-2022-jp | euc-jp | shift_jis | utf-8 | us-ascii |
                               JIS | EUC | SJIS | UTF8 | ASCII | guess
           connMap  ==  [ProtoList][:[dstHostList][:[srcHostList]]]
                    --  制限: HTTP, FTP, SMTP, POP, NNTP, Telnet, Tcprelay に適用
                    --  default: none

指定した場合、DeleGate は、テキストタイプの応答メッセージ中にある JIS コードを、 指定されたキャラクタコードに変換します。 UTF8 が指定された場合、Unicode/JIS 間で変換に必要なマッピングテーブルは、 DeleGate.ORG 経由で Unicode.Org のサーバより自動的にダウンロードされます。

疑似コード名 "guess" は変換は行わないということですが、 メッセージ中の "Content-Type" ヘッダに追加される "charset" 属性が 欠けている場合には、メッセージボディからそれを推測します。 これは、EUC-JP のような非アスキーコードが、ビューアによりヨーロピアンとして 推測されてしまうような、メッセージが日本語にローカライズされていない ビューアプログラム(例えば、ウェブブラウザ)のときに便利です。

"tosv" が指定されているなら、変換は要求メッセージ(または、サーバへ向けたメッセージ) に適用されます。 変換は、その要求 URL 内に "%XX" でエンコードされたHTTP要求メッセージや、 POST メッセージ (Content-Type: application/x-www-form-urlencoded でエンコードされているとき) 内の日本語テキストの断片にも適用されます。 変換が適用される Content-Type の値一式は HTTPCONF=post-ccx-type で指定できます。

変換対象のアプリケーション(プロトコル)は、connMapで指定した、 指定のプロトコル一式、サーバ/クライアントだけに制限できます。 connMap 内での ProtoList, dstHostList, srcHostList の初期値は "*" で、全てのプロトコルやホストと一致します。

例) クライアントへ応答を UTF8 で送り、HTTP サーバへの要求を Shift_JIS で送る

CHARCODE=UTF8 CHARCODE=SJIS:tosv:http


FTP プロトコルでの変換は、デフォルトでデータ接続上を ASCII 形式で転送されるデータのみに適用されます。 これは、FTPCONF="ccx:any" を伴うことで、バイナリデータやコントロール接続上のデータにも適用されます。

このパラメータをインターネットメール/ニュースプロトコル (SMTP, POP, NNTP) で 有効にする場合、 キャラクタ変換を有効 (デフォルトで有効) にするために MIMECONV パラメータも指定する必要があります。

HTTP クライアントは、要求メッセージ中の "Accept-Language" フィールドで選択して （各クライアント（WWWブラウザ）で指定できるかもしれません）送信することで、 この指定を無視できます。 例) クライアントの要求で "Accept-Language: (charcode=EUC)" が送られた場合、 応答テキストは、DeleGate の CHARCODE 指定を無視して、 EUC に変換されます。 "Accept-Language: (charcode=THRU)" が指定された場合、 管理者がこの DeleGate に指定した全ての変換は 無効になります。

CHARMAP parameter*  ==  CHARMAP=mapType:charMap[,charMap]*[:tosv]
           mapType  ==  ascii | ucs | jis | ucsjis | jisucs
           charMap  ==  inCharCode1[-inCharCode2]/outCharCode2[-[outCharCode2]]
          charCode  ==  hexa-decimal code | single ASCII character
                    --  default: none

HTMLCONV parameter  ==  HTMLCONV=convList
          convList  ==  conv[,conv]*
              conv  ==  deent|enent|fullurl
                    --  default: HTMLCONV=deent

MIMECONV parameter  ==  MIMECONV=mimeConv[,mimeConv]
          mimeConv == thru | charcode | nospenc
                    --  default: none
                    --  CHARCODE パラメータが与えられた場合 MIMECONV=""

FCL parameter       ==  FCL=filterCommand
FTOCL parameter     ==  FTOCL=filterCommand
FFROMCL parameter   ==  FFROMCL=filterCommand
FSV parameter       ==  FSV=filterCommand
FTOSV parameter     ==  FTOSV=filterCommand
FFROMSV parameter   ==  FFROMSV=filterCommand
FMD parameter       ==  FMD=filterCommand
FTOMD parameter     ==  FTOMD=filterCommand
FFROMMD parameter   ==  FFROMMD=filterCommand
filterCommand      ==  [-s,][-p,][-w,]command
                    --  default: none

DeleGate/クライアント間や、 DeleGate/サーバ間で通信されるデータに利かせる filter コマンドを指定します。 filterCommand が相対パスで指定された場合、 LIBPATH 内を検索します。

フィルタは、サーキットレベル情報では、 CMAP で、 アプリケーションレベル情報では、 CFI script を使うことで、 条件付で利かせることができます。

フィルタ制御オプション: オプションは、フィルタプログラムから状態情報を受取る、 または同期を制御します。

-s -- フィルタから状態情報（認証など）を受取る
-w -- 中継を開始する前に、フィルタプロセスの終了を待つ
-p -- フィルタを終了時に切り離し、中継を継続する


組み込みフィルタ: filterCommand に "-" が前置きされる場合、 それは DeleGate の組み込みフィルタです。

credhyFilter == -credhy ... encryption/decryption フィルタ

teeFilter == -tee[teeOpt]*[SPACE filePath] ... tee(1) コマンド類似フィルタ

catFilter == -cat[teeOpt] ... cat(1) コマンド類似フィルタ

teeOpt == -h | -n | -t | -v | -l | -e

-h -- ヘッダ部のみ出力
-n -- 出力ライン数
-t -- 出力ラインに対するタイムスタンプ
-v -- 不可視キャラクタを表示
-l -- (-tee を伴う) 出力を stderrに代わり、LOGFILE に出力 (デフォルト)
-e -- (-tee を伴う) stderr に出力

codeconvFilter == -charCode ... CHARCODE と同様のキャラクタコード変換

charCode == jis | sjis | euc | utf8

例)
FTOCL=-tee-h-n FTOSV=-tee

XCOM parameter      ==  XCOM=filterCommand
XFIL parameter      ==  XFIL=filterCommand
                    -- default: none

CHROOT parameter    ==  CHROOT=dirPath
                    --  default: none
                    --  制限: ほとんどの Unix で super-user のみ

ファイルシステムのルートを、開始時に、 chroot(2) システムコールを使用し、DirPath に変更し、 アクセス (閲覧) 可能なファイルを dirPath 以下に制限します。 これは、バグや侵入により可能となる破壊活動から、 DeleGate を守るため、 DeleGate をホストマシンのファイルシステム全体から隔離します。 DGROOT は、ルートが変更されてから解釈されます。
特殊な状態 CHROOT="/" は、(デフォルトまたは指定された) DGROOT を CHROOT にし、 DGROOT="/" を指定します。 これは、CHROOT="/" をともなう DGROOT="/path" は、 CHROOT="/path" をともなう DGROOT="/" と同じということです。

DGROOT parameter    ==  DGROOT=dirPath
                    --  default:  Unix: '/' CHROOT が設定されるか
                                           '${HOME}/delegate',
                                           '/var/spool/delegate-${OWNER}',
                                           '/tmp/delegate-${OWNER}' の場合
                                  Windows: '/Program Files/DeleGate'

全てのサブディレクトリ (LOGDIR, ADMDIR, CACHEDIR, WORKDIR, ETCDIR, ACTDIR, TMPDIR) は、デフォルトで、DGROOT 以下に配置されます。
実行開始時（Unix 上で）、DeleGate は、 利用可能な DGROOT (OWNER によって読み書きできる) を検索します。 候補となるディレクトリが存在しない場合、 DeleGate 自身がディレクトリを作成しようとします。 DGROOT の指定が明示された場合、それが最初に試されます。 失敗するか、DGROOT が与えられない場合、 デフォルトの候補順序によって利用可能なディレクトリが 見つかるまで試されます。

SHARE parameter     ==  SHARE=dirPatternList
                    --  default: empty

UMASK parameter     == UMASK=mask
                    -- default: umask(2) の値

VARDIR parameter    == VARDIR=dirPath
                    -- default: VARDIR='${DGROOT?&:/var/spool/delegate}'

CACHEDIR parameter  ==  CACHEDIR=dirPath
                    --  default: CACHEDIR='${VARDIR}/cache'

ETCDIR parameter    ==  ETCDIR=dirPath
                    --  default: ETCDIR='${VARDIR}/etc'

DeleGate 管理/設定用の常駐ファイルを置くディレクトリ。 元 SMTP-DeleGate (SMTPGATE) と、 元 NNTP-DeleGate (NNTP) 用 設定ファイルはここに配置します。

LOGDIR parameter    ==  LOGDIR=dirPath
                    --  default: LOGDIR='${VARDIR}/log'

LOGFILE parameter   ==  LOGFILE=[LogFilename]
PROTOLOG parameter  ==  PROTOLOG=[LogFilename][:logFormat]
ERRORLOG parameter  ==  ERRORLOG=LogFilename
TRACELOG parameter  ==  TRACELOG=LogFilename
                    --  default: LOGFILE='${LOGDIR}/${PORT}'
                    --  default: PROTOLOG='${LOGDIR}/${PORT}.${PROTO}'
                    --  default: ERRORLOG='${LOGDIR}/errors.log'
                    --  default: TRACELOG='${LOGDIR}/ptrace.log'

LogFilename が相対パスで指定された場合、それらは ${LOGDIR} 内に配置されます。 これら名前が "./" で始まる場合、 それらは ${WORKDIR} 内に配置されます。

パターン ${PROTO} と ${PORT} は、それぞれ、 この DeleGate のプロトコル名と、ポート番号に置換えられます。 これらファイルとディレクトリは、 可能な場合、DeleGate により自動生成されます。 LOGFILE="" や PROTOLOG="" のように空ファイル名を指定することでログを停止できます。

HTTP 用の PROTOLOG 書式は、 共通ログファイル書式と互換で、 また、カスタマイズ可能です。FTP 用の PROTOLOG 書式は、 xferlog 互換です。

SYSLOG parameter*   ==  SYSLOG=[syslogOpts,][syslogServ]
        syslogOpts  ==  syslogOpt[,syslogOpts]
         syslogOpt  ==  -vt | -vs | -vS | -vH | -fname
                    --  default: none

このパラメータは、"syslog" サービス (RFC3164) 経由のログデータ記録を設定します。 LOGFILE でのログデータの "facility.priority" の組合わせは、 通常のデータは "daemon.debug" で、エラーは "daemon.err" です。 (将来さらに詳細なレベルに分割されます） PROTOLOG のログデータは、"daemon.notice" で送られます。 ファシリティ名は、"-fname" オプションで変更できます。

複数の SYSLOG パラメータで、syslogServ で指定した それぞれの複数の異なる対象にログデータを送信する設定ができます。 syslogServ は、syslog サーバか、ローカルファイルの URL です。 syslogServ のデフォルトは、ローカルのロガー (ログは、標準 "syslog()" 関数経由で送られます) です。 それぞれの対象に対し、ログ書式と詳細さは、以下の syslogOpt を前置して指定できます:

-vt	-- LOGFILE を簡素化
-vs	-- LOGFILE 無し
-vS	-- PROTOLOG 無し
-vH	-- syslog ヘッダを省略
-fname	-- ファシリティ名 "daemon" の代わりに name を使う

例)

SYSLOG=	-- ローカルの syslog へ
SYSLOG=syslog://host	-- 遠隔の syslog サーバへ
SYSLOG=syslog://host:port	-- 非標準ポート
SYSLOG=/dev/tty	-- コンソールへ
SYSLOG=file:path	-- ローカルファイルへ
SYSLOG=-vH,file:path	-- syslog ヘッダを省略
SYSLOG=-fdaemon	-- "daemon" ファシリティとして (デフォルト)
SYSLOG=-flocal1	-- "local1" ファシリティとして

遠隔 syslog サーバへの syslog UDP パケットの送信元ポート (とアドレス) は、例えば、 SRCIF=":8514:syslog" (または SRCIF="xx.xx.xx.xx:8514:syslog" のように指定できます。
各アプリケーションプロトコルのサーバとクライアントを基準とした syslog サーバの 切替えは、(まだ) サポートされていません。

EXPIRELOG parameter ==  EXPIRELOG=LogFilename
                    --  default: EXPIRELOG='${LOGDIR}/expire.log'

WORKDIR parameter   ==  WORKDIR=dirPath
                    --  default: WORKDIR='${VARDIR}/work/${PORT}'

ACTDIR parameter    ==  ACTDIR=dirPath
TMPDIR parameter    ==  TMPDIR=dirPath
PIDFILE parameter   ==  PIDFILE=fileName
                    --  default: ACTDIR='${DGROOT}/act'
                    --  default: TMPDIR=system dependent
                    --  default: PIDFILE='${ACTDIR}/pid/${PORT}'

HOSTS parameter*    ==  HOSTS=nameList[/addrList]
          nameList  ==  name | {name[,name]*}
          addrList  ==  addr | {addr[,addr]*}
                    --  default: HOSTS=localhost/127.0.0.1

RESOLV parameter    ==  RESOLV=[resolver[,resolver]*]
          resolver  ==  resType[:[resParam][:[queryHostList][:clientHostList]]]
           resType  ==  cache | file | nis | dns | sys
                    --  default: RESOLV=cache,file,nis,dns,sys

RES_WAIT parameter  ==  RES_WAIT=seconds:hostname
                    --  default: RES_WAIT="10:WWW.DeleGate.ORG"

RES_CONF parameter  ==  RES_CONF=URL
                    --  default: RES_CONF="file:/etc/resolv.conf"
                        or from registry (on Windows)

RES_NS parameter    ==  RES_NS=nsList
            nsList  ==  dnsServ[,nsList]
           dnsServ  ==  dnsServer[//socksV5Host] | END.
                    --  default: depend on RES_CONF

使用する DNS サーバを指定します: dnsServer は、 DNS サーバのホスト名か、ホスト名の IP アドレスで、 オプションで、ポート番号が標準ポート(53) 以外の場合、 "host:8053" のように、ポート番号を付けることもできます。 "dnsServer//socksV5Host" を指定した場合、 防火壁の向こうにある DNS サーバは、指定したSocks V5サーバ経由で参照できます。 Socks サーバは "192.168.1.1:2080" のように、 その IP アドレス、および、任意のポート番号で指定します。

デフォルトで、"resolv.conf" に 列挙されている nameサーバ は、使用する DNS サーバの一覧に追加されます。 特別な dnsServ名 ".END" は、それら name サーバの追加機能を停止します。 例) RES_NS="192.168.1.1,.END" は、192.168.1.1 のみを使用し、 "resolv.conf" を無視することを意味します。

RES_AF parameter    ==  RES_AF=afOrder
            afOrder ==  46 | 64 | 4 | 6
                    --  default: 46

RES_RR parameter    ==  RES_RR=HostList
                    --  default: RES_RR="*"

RES_VRFY parameter  ==  RES_VRFY=""
                    --  default: none

RES_DEBUG parameter ==  RES_VRFY=number
                    --  default: none

組み込みレゾルバのデバッグ用ログレベル。

       ProtoList  ==  [!]protoSpec[,ProtoList]
       protoSpec  ==  protocolName[/[portNumList][/methodList]]

        HostList  ==  [!][-iType]hostSpec[,HostList]
           iType  ==  {h|a|c|*}/[iType]
        hostSpec  ==  [{userList}@]hostSpec[/netMask]
        userList  ==  userNamePattern[,userNamePattern]*
        hostSpec  ==  hostNamePattern | hostAddrPattern
 userNamePattern  ==  [*]uname[*]
 hostNamePattern  ==  [*]hname[*]
 hostAddrPattern  ==  IPaddressPattern | IPrange
         netMask  ==  IPaddress | maskLength

HostList は、ホストのリスト (名前、または、アドレス) で、 存在するホストが、リストに含まれているか、いないかを付き合わせ、 確認するために使用します。 それぞれのホスト (hostSpec) は、 任意でユーザリスト (userList) を前置きし、および、 任意で netMask を後置きできます。

識別情報のタイプ

１つの hostSpec "person@place" は、以下の識別情報で表現します:

[-h/] [Ident@]peerHost -- 相手ホストの識別情報 (クライアント，サーバ，または、プロキシ)

ホストの名前またはアドレスが peerHost と一致し、 かつ、Ident@ 部が指定された場合、 接続の所有者名は、Identification プロトコルにより 自動的に検出され、Ident と一致します。

[-a/] authUser@authHost -- 認証された識別情報

authUser として、認証サーバ authHost (AUTHORIZER=authHost で指定された) によって認証された (適切なパスワードを備えた名前を示すことで)クライアントユーザ。

[-c/] person@domain -- 証明された識別情報

クライアントの証明書 (SSL 経由で渡された) 内で、 /Email=person@domain/ として得られるクライアントのユーザの E-mail アドレス。

暗黙的に、"host" のように、"user@" を伴わない hostSpec 部分は、相手ホストの識別情報とのみ比較し、"user@host" は、 全ての識別情報と一致します。 -iType を hostSpec の前につけた場合、 識別情報の突き合わせを明示的に指定できます。 例:

user@host -- 識別情報のすくなくとも1つが "user@host" の時に一致
-h/user@host -- 相手ホストの識別情報が "user@host" の時に一致
host -- 相手ホストの識別情報が "host" の時に一致
-*/host -- 識別情報のすくなくとも1つが "*@host" の時に一致
-a/host -- 認証された識別情報が "*@host" の時に一致
-a/c/host -- 認証されたまたは、証明された識別情報が、 "*@host" の時に一致
-a/* -- 認証が成功した時に一致


ワイルドカード ( * )

一つのドメインか、ネットワークに属するホストは、 ワイルドカード記号をともなう1つの hostSpec で表現できます。 "*.com" または、 "*.delegate.org" または、"www.*" のように、 ワイルドカードキャラクタ "*" を前置/後置できます。 特殊な状況で、"*.domain" のように、"*." で始まる hostSpec は、 "xx.domain" や "yy.xx.domain" のような、普通のホスト名と同様に、 "domain" をホスト名として一致します (DeleGate/6.1.18 から)。 ネットワークに相当する、IP アドレス範囲は、192.168.[0-255], 192.168.1.[32-63] のように指定できます。 これら範囲は、192.168.0.0/16 と 192.168.1.32/27 のように書くこともできます。 IP アドレスの表記での、ワイルドカードキャラクタ "*" は、[0-255] を意味し、 "192.168.*" のような場合、192.168.[0-255] と同じです。

否定 ( ! )

host に "!" を前置きした場合、そのホストは、 リストから除外されることを意味します。 リスト中の全ての要素は、最初から最後まで走査されます。 このように、一度追加 (除外) された名前は、 成功リストから除外（追加）されます。 例) HostList は、以下のようになります:

"*.dom,!*.xx.dom,*.yy.xx.dom"

"host.yy.xx.dom" のホストは、最初の hostSpec に一致しますが、 2番目で除外されます。しかし、再び、3番目で追加されます。 HostList 中の、最初の host が、"!" をともなう場合、 全宇宙（"*"、全てのホスト）から除外されることを意味し、 "!host, ..." は "*,!host,..." とみなされます。

ネットマスク ( host/mask )

netMask の指定で、アドレスの一部だけを検査できます。 通常、ネットワークアドレス部です。 netMask は、以下の内の一つで指定できます:

/24, /28, ... マスクビット長

/FFFFFF00, /FFFFFFF0, ... 16進表記

/255.255.255.0, /255.255.240.0, ... ドット表記

/@A, /@B or /@C ... アドレスクラスマスク

@A, @B および、@C は、それぞれ、/8, /16 および、/24 を表します。この表記法は、サブネットのために、 ビット数をつけることができます； 例） /@B4 は、クラス B ネットワークを 16のサブネットに分割することを意味します。

@ ... デフォルトネットマスク

ホストの IP アドレスクラスによって /@A, /@B, /@C のいずれかで表現し、マスクする。

. ... さらに狭いデフォルトネットマスク

"@" と同様 ですが、クラス A IP アドレスに適用する際、 "/24" を表します。 IPv6 アドレスでは、デフォルトマスクは、ffff_ffff_ffff_ffff__" で、 64ビットマスク "FFFF:FFFF:FFFF:FFFF::" を意味します。

ユーザリスト ( {userList}@host )

srcHostList (すなわちクライアントホストに関する HostList) 用、 {user1,user2,...}@host のように、ホスト名に前置きできる、 ユーザ名リスト (userList) です。 否定記号 "!" は、HostList のときと同じ意味を持ちます。 注記: !user@host は {!user}@host とは異なります; 前者は、user@host を除外しますが、後者は、{*,!user}@host を意味し、 *@host が追加され、user@host が除外されます。 特別なユーザ名 "?" は、 identd で識別 (IDENT) されていないユーザ名と一致します。

例) 不明ホストや、不明ユーザからのアクセスを抑制する

RELIABLE="{!?,!?@*}"

ポートリスト ( host:{portList} )

dstHostList に関する（例えば、サーバホストに関する HostList）、 ポート番号リスト (postList) は、ホスト名／アドレスと同様、 ポート番号で一致させるために、ホストに前置きできます。

例) CMAP を使って、条件付でフィルタリングする。

CMAP="sslway:FSV:*:{*:{563,636,990,992,995}}:*" は、以下と同様です。
CMAP="sslway:FSV:nntps,ldaps,ftps,telnets,pop3s:*:*"

特殊ホスト名

これらは、特殊なホスト名で、実行時に、 実ホスト名に置換えられます。

"."

DeleGateが動作しているホスト。

"-"

ホストがユニークな IP アドレス (ネットワークインタフェース) を持つ場合、 "." と同様ですが、IP アドレスを複数もつ場合、クライアントが、 この DeleGate に接続した IP アドレスになります。

".o"

ホストがユニークな IP アドレス (ネットワークインタフェース) を持つ場合、 "." と同様ですが、複数のネットワークインタフェースを持つ場合、 出口のネットワークインターフェースです。

".localnet"

デフォルトで、"localhost,./.,-/.,.o/." を表します。 これは、HOSTLIST=.localnet:HostList のように、 HOSTLIST で再定義できます。

".C" または "-C"

クライアントホストで、クライアントからのアクセスをクライアント (ネットワーク) のみに制限する場合便利かもしれません。

"?"

名前や、アドレスがレゾルバ (RESOLVの指定) によって解決できない "unknown hosts" (不明なホスト) に一致します。

名前解決停止 ( -host )

ホスト名（または、IPアドレス）が "-hostname" ("-192.168.1.1") のように "-" が前置きされる場合、ホスト名（IPアドレス）に対して、 名前解決 (逆引き) を試しません。これにより、名前解決不能なホスト名 (IPアドレス) に対する名前解決の試行における無駄な時間を省くことができます。

アドレスタイプ ( _4. | _6. )

"_4.*" は、任意の IPv4 アドレスと一致し、 "_6.*" は、任意の IPv6 アドレスと一致します。 これらは、アドレスタイプを基準としたルーティングや、アクセス制御に使用できます。

エージェントの条件 ( -A/agentNamePattern )

"-A/" が前置きされた疑似ホスト名は、クライアントのユーザエージェント として指定できます。

例)

RELIABLE="-A/Mozilla/4,!-A/MSIE 5" ... は、以下と等価
RELIABLE=.realmozi4 HOSTLIST=".realmozi4/A:Mozilla/4,!MSIE 5"


時間条件 ( -T.period )

ホスト名に、"-T." が前置きされる擬似ホスト名パターンは、 1日のうちの期間を指定するために使用します。

"-T.period" は、 現在時刻が指定した period 中にある場合一致し、 ここでの period は、 "hour1-hour2”で表現します。


例)

PERMIT="*:-H.9-16:hostList1" PERMIT="*:-T.17-8:hostList2"
// hostList1 は、終業時間内に許可
// hostList2 は、終業時間外に許可

period の完全な書式はこのようになります： [wW]HH[MM][-HH[MM]]. 週内の時間制限は、"wW" で表現され、ここでの W は、 "0"（日曜日）から、"6"（土曜日）の範囲です。 利便性のため、日曜日は、"7" でも表現できます。

例)

-T.w5-0 // 金曜日から日曜日
-T.w5-7 // 金曜日から日曜日
-T.w51730-10830 // 金曜日の午後5:30から、月曜日の午前8:30まで

合成演算子 ( &, |, ! )

上記でも説明しましたが、 "A,B" のような HostList でのカンマ (,) の意味は、AND や OR ではありません。 AND, OR, NOTのような演算子は、 リストの特別なメンバとして提供されます。

"&"

"hostList=A,&,B" のように使う AND 演算子で、 A が偽の場合、hostList は、B を評価せずに、全体で偽になります。 他の場合、全体で真になるためには、B が真になる必要があります。

"|"

"hostList=A,|,B"のように使う OR 演算子で、 A が真の場合、hostList は、B を評価せずに、全体で真になります。 他の場合、全体で真になるためには、B が真になる必要はありません。

"!"

"A,!,B" のように使う NOT 演算子で、 A の結果は反転され、B がある場合続けて評価されます。

例)

PERMIT="*:*:-T.9-16,&,hostList1" PERMIT="*:*:-T.17-8,&,hostList2"
// 上記の例と同じ意味です。

これらは、設定ファイル書式ではなく、 DeleGate の構文を良く見せるためのものです(いまのところ)、 しかし、単純な再帰的置換え機構 (階層化および分散したパラメータ群を 一つのパラメータ (または、オプション) リストに組み立てます) です。 オプションとパラメータは、 外部の "substitution resources"（置換リソース）から読込むこともできます。

"+=file" のようなオプションは、オプションのリストが列挙された、 "file" の名前を持つリソースに置換えられ、 "name=+=file" のようなオプションは、 "name=value" リストに置換えられ、 この "value" は、"file" 内に列挙されます。 同様に、"name=xxx:+=file" のようなオプションは、 リスト "name=xxx:value" によって置換えられます。

リソース置換 は、暗号化形式で指定できます。 暗号化されたデータは、書式文字列 "+=enc:ext::XXXX:" として直接表現でき、 XXXX 部は、暗号化されたデータを含みます。 この データ書式は、DeleGate の "-Fenc" オプションで作られます。 ファイル名が ".cdh" 付きの "+=conf.cdh" のようになっているとき、 "Credhy" によって非暗号化され、非暗号化で使用されるパスフェーズは、 "config" ユーザのパスワードとして指定されます。

置換は、再帰的に実行できます。 この場合、相対リソース名は、 DGPATH または LIBPATH 内で検索されます。 デフォルトで、DGPATH='+:.:${HOME}/delegate'" の "+" は、 "caller" (呼び出し元) リソースの場所を表します。 例）"+=file2" が、呼出元ファイル "/usr/etc/file1" から参照される場合、 "file2" は、"/usr/etc/file2" として、検索されます。 リソース名は、"+={http://host/file1}" や "+={http://host/file}" のように URL で指定できます。

       paramRef ==  +=[URL][?label,[label]*]

      paramList ==  line
                    line
                    ...

  paramListPart ==  CASE label
                         paramList
                    ESAC

置換リソースは、オプション（または、パラメータ）のリストで、 それぞれの行が一つのオプション（または、パラメータ）を表します。 それぞれの行で、 シャープ (#) に続く文字列は注釈として無視されます。 空白文字キャラクタ (SPACE, TAB, LF, CR) が 各行の最初または終わりにある場合、無視されます。 シングルクォート (') および、ダブルクォート (") は取り除かれます。 バックスラッシュ (\) に続く文字はそのままの文字として扱われます。

例) 次の5つの例は、互いに同じ意味を持ちます。

PERMIT=a:b:c PERMIT=a:b:d PERMIT=a:e:f PERMIT=x:y:z ...

+=parameters

[content of parameters]

PERMIT=a:b:c
PERMIT=a:b:d
PERMIT=a:e:f
PERMIT=x:y:z
...


PERMIT=+=permits

[content of permits]

a:b:c
a:b:d
a:e:f
x:y:z
...

PERMIT=a:b:+=abclients PERMIT=+=others


[content of abclients]

c
d


[content of others]


a:e:f
x:y:z
...

PERMIT=+=permits


[content of permits]


PERMIT=a:b:+=?abclients


PERMIT=+=?others


CASE abclients


c
d


ESAC


CASE others


a:e:f
x:y:z
...


ESAC





置換リソースは、DeleGateが SIGHUP を受けるか、 CRON パラメータの "-restart" 動作により、 再起動したときに再読込されます。

他の置換 "name=-=URL" は、 URL の内容をローカルファイルシステム上（ACTDIR 内）の一時ファイルに読込み、 そのあとで、パラメータを "name=/path/of/temporary-file" に書換えます。 これは、"-eCONFIGDATA=-=http://server/configData" のように、 リモートリソースを CGI または、 CFIプログラム経由にしたい場合有効です。 この場合、これらプログラムは、環境変数 CONFIGDATA ("http://server/configData" の内容を含む一時ファイル名を値に持つ) で与えられます。

クライアントと DeleGate 間、または、DeleGate とサーバ間の通信は、 CFI（Common Filter Interface）と呼ばれる簡単な仕組みを用い、 DeleGate に関連付けたユーザ定義フィルタプログラムによって、選択、または、変換できます。 すでに存在するフィルタプログラムが、標準入力から受けて標準出力に出力する場合、 CFI プログラムとして、そのまま使用可能です。 CFI の使用法は、以下のようなパラメータで制御されます:

filterName="filterSpec"
CMAP="filterSpec":filterName:connMap

  filterName  ==  FCL | FTOCL | FFROMCL |
                  FSV | FTOSV | FFROMSV |
                  FMD | FTOMD | FFROMMD 
  filterSpec  ==  filterCommand | CFIscriptName
                  | tcprelay://host:port

filterName は、 FXX, FTOXX, FFROMXX のような名前で、 XX は CL (クライアント), SV (サーバ), MD (MASTER-DeleGate) の内の一つです。 FXX のフィルタコマンドは、 クライアントに対して、ファイルディスクリプタ 0 がバインドされ、 DeleGate に対しては、ファイルディスクリプタ 1 がバインドされます。 FTOXX と FFROMXX のフィルタコマンドは、標準入力から入力を受け、 XX にバインドされた標準出力へ出力します。 リモートホストの単方向フィルタは、"tcprelay://host:port" により、 TCP 上で接続し使用することができます。

フィルタ（サーキットレベル情報において）は 次のように CMAP パラメータを使うことで、 条件付で利かせることができます:

CMAP=filterSpec:filterName:ProtoList:dstHostList:srcHostList
例) CMAP="sslway:FSV:telnet:hostA:*" は、HostA 上の telnet サーバに接続する場合のみ、 SSLway フィルタを利かせることを意味します。

FTOXX と、FFROMXX フィルタで、 CFI スクリプトは、 データタイプによって、それぞれのデータに適したフィルタを選択して利かせることができます。 FTOCL=filterCommand のような、 直接的使用の代わりに、 FTOCL=filter.cfi を指定でき、 ここでの filter.cfi は、CFI スクリプト形式のファイルです。 また、CFI スクリプトは、FTOCL=URL のように HTTP や FTP 経由で、 リモートホストから読込むこともできます。 CFI スクリプトのファイル名、または、スクリプト中で参照されるフィルタコマンドが、 相対パス名で指定される場合、 それらは LIBPATH 内で検索されます。

CFI スクリプト

CFI スクリプトは、DeleGate 上で転送されるメッセージデータに効かせる ために使うフィルタを選択(データタイプ、サーバ名、クライアントタイプなどにより) する簡単なスクリプトです。 CFI スクリプトは、テキストデータで、 "#!cfi" マジックストリングで始まり、 それぞれ "--" によって区切られた 1つ以上のフィルタ設計書を含みます。

  CFI script   == "!#cfi" NL filterUnit [ "--" NL filterUnit ]*
  filterUnit   == filterRule [ filterRule ]*
  filterRule   == matchingRule | rewriteRule | filterSpec
  matchingRule == matchingName ":" ruleBody
  matchingName == MIMEheader | X-header | CGIENV
  MIMEheader   == "Content-Type" | "User-Agent" | ...
  X-header     == "X-Status-Ver" | "X-Status-Code"
                | "X-Request-Method" | "X-Request-Ver"| "X-Request-URL" | ...
  CGIENV       == "REQUEST_METHOD" | "SERVER_PROTOCOL" | "SERVER_NAME"
                | "PATH_INFO" | "PATH_TRANSLATED" | "HTTP_USER_AGENT" | ...
  rewriteRule  == Action "/" MIMEheader : ruleBody
  Action       == "Output" | "Remove"
  filterSpec   == filterType ":" ruleBody
  filterType   == "Body-Filter" | "CGI" | "Header-Filter"
                | "MIME-Filter" | "Message-Filter"
  ruleBody     == string NL [ SP  string NL ]*

入力書式:
CFI スクリプトへの入力データは、アプリケーションプロトコル (HTTP, SMTP, POP, NNTP) の要求/応答ステータス行に先行される、 MIME 書式でのアプリケーションプロトコルメッセージです。 ひとつの MIME メッセージは、空行で分離されたヘッダとボディからなります。

  CFIinputMessage == statusLine MIMEheader NL MIMEbody

例) 簡単な HTTP 応答メッセージ

HTTP/1.0 200 OK           ... 応答ステータス行
Content-Type: text/html   ... ヘッダ
Content-Length: 20        ... ヘッダ
                          ... ヘッダ/ボディ 分離行
メッセージボディ         ... ボディ

マッチングルール:
matchingRule は、 入力ヘッダと ruleName:ruleBody を突合わせることを表します。 これは、入力メッセージが ruleBody と一致するフィールドボディを ともなう ruleName ヘッダを持つときに一致します。 1つ以上のルールが一致した場合、 真になり、filterUnit が採用されます。 filterUnit 内に突き合わせルールが存在しない場合、 filterUnit は、無条件に採用されます。 現在、限られた MIME ヘッダセット (要求・応答メッセージ中の) のみが 突き合わせに使用できます。 オリジナルヘッダ中に含まれないいくつかの 拡張ヘッダ情報で突き合わせることもできます。 (例: 応答メッセージ中の状態コードを意味する "X-Status-Code") CGI 環境変数とのマッチング。

例) マッチングルール

#!cfi
HTTP_USER_AGENT: MSIE
SERVER_HOST: www1.dom1
SERVER_HOST: www2.dom2
X-Status-Code: 200
Content-Type: text/html
Content-Type: text/plain
Body-Filter: ...


書換えルール:
"Action/" が前置された rewriteRule がある ruleName:ruleBody は、 関連する ruleName フィールドのための ruleBody データを 使ういくつかの単純な書換えを指定します。 "Output/ruleName:ruleBody" は、 ヘッダに ruleName:ruleBody フィールドを追加 (または置換) するということです。 "Remove/ruleName:ruleBody" は、 名前が ruleName で ruleBody と一致するボディを持つ、 ヘッダフィールドを削除することを表します。

フィルタ指定:
filterSpec は、入力データに効かせるフィルタを指定します。 入力メッセージ全体または一部はフィルタプログラムの標準入力へ渡され、 標準出力からのメッセージが元の入力メッセージの代わりに、 対象（クライアントや、サーバ）に転送されます。

  Body-Filter:    MIMEbody 用フィルタ
  CGI:            MIMEbody 用フィルタ
  Header-Filter:  MIMEheader 用フィルタ
  MIME-Filter:    MIMEheader + MIMEbody 用フィルタ
  Message-Filter: statusLine + MIMEheader + MIMEbody 用フィルタ

全ての種類のフィルタには、CGI 環境変数が渡されます。 加えて、CFI を起源とする環境変数も渡されます( "SERVER_HOST" (対象サーバ名), "REQUEST_URL" (要求 URL))。

"Body-Filter" や "CGI" のフィルタのために, 転送メッセージ中の "Content-Length" ヘッダは、フィルタ後のボディ部分のサイズを示すように 調整されます。 "CGI" フィルタの出力は、CGI 出力 のステータスヘッダに先行されていなければなりません。

"Header-Filter" フィルタの場合、 メッセージのヘッダ部はフィルタに渡されます。 HTTP メッセージ (Request-Line または、Status-Line) 中の start-line は、 "Request-Line:" または、"Status-Line:" を 前置きされたヘッダフィールドとして、渡されます。

"MIME-Filter" のフィルタでは、ヘッダとボディからなる MIME メッセージ全体が、 フィルタとやりとりされます。

"Message-Filter" のフィルタでは、 アプリケーションプロトコルのメッセージ全体がフィルタとやりとりされ、 それぞれのメッセージは、アプリケーションプロトコルの要求/応答ステータスを 表す 1行を最初に持つ MIME メッセージで構成されます。

例) HTTP 応答メッセージの書換え

SERVER=http FTOCL=test.cfi

[content of test.cfi]
#!cfi
Content-Type: text/html
Body-Filter: sed's/string1/string2/'
--
Content-Type: image/gif
Output/Content-Type: image/jpeg
Body-Filter: gif2jpeg


例) 利用可能なヘッダと環境変数を表示する

#!cfi
Header-Filter: -tee-n-v /dev/tty
Body-Filter: env|sort > /dev/tty; cat

SERVER=udprelay パラメータをともなう DeleGate は、伝送内容を把握しないで、 クライアント・サーバ間の通信を UDP で中継します。 これは、TCP のための tcprelay と同様な、長所/欠点を持ちます。 ルーティング情報が変更されるようなアプリケーションプロトコル（CU-SeeMe など）もまた、 udprelay で中継できません。

例) 同様の役割をする、UDP 上の 2つのプロキシ

# delegated -P53 SERVER=dns://nameserver
# delegated -P53 SERVER=udprelay://nameserver:53

例) UDP/TCP 間のゲートウェイ

// UDP クライアントと単一の TCP サーバ
# delegated -P53 SERVER=udprelay://nameserver:53 CONNECT=tcp
// TCP クライアントと単一の UDP サーバ
# delegated -P53/tcp SERVER=udprelay://nameserver:53


上記のような一対のゲートウェイは、TCP 接続上で UDP パケットを伝送できますが、 このような中継（トンネリング）は、単一の TCP 接続で SockMux を使用することで、さらに能率的に実現できます。

DeleGate による、"DGAuth" サーバは ダイジェスト認証を機能的に、リモートに（試験的な "DGAuth" プロトコル上で）提供します。

例) DGAuth-DeleGate サーバとそのクライアント

hostS% delegated SERVER=dgauth -P8787
hostC% delegated SERVER=http -P8080 AUTHORIZER=-dgauth//hostS..8787

例) DGAuth-DeleGate サーバと同じホスト上のクライアント

hostX% delegated SERVER=dgauth
hostX% delegated SERVER=http -P8080 AUTHORIZER=-dgauth

DGAuth サーバは、各プロトコル用のダイジェスト計算に使用する構成要素一式を受信し、 以下のようにダイジェストを返します。

要求：
  HTTP user nonce realm method uri
  APOP user nonce [realm] (現状使いません)

応答：
  200 digest
  501 syntax error
  502 unknown user

DeleGate による PAM サーバは、PAM (Pluggable Authentication Modules) 機能を、リモート提供します (HTTP と互換性のある実験プロトコル (PAM/HTTP) を越えて)。

例) PAM-DeleGate サーバとそのクライアント

hostX% delegated -P8686 SERVER=httpam
hostY% delegated -P8023 SERVER=telnet AUTHORIZER=-pam//hostX/passwd

例) PAM-DeleGate サーバとそのクライアントの SSL 上での通信

delegated hostX% -P8686 SERVER=httpam FCL=sslway
delegated hostY% -P8023 SERVER=telnet AUTHORIZER=-pam//hostX/passwd CMAP=sslway:FSV:pam

注記：ほとんどの PAM 認証は Unix 上のスーパーユーザ特権 (OWNER="root" オプションを伴う) で実行することが必要です。 しかし、DGROOT/subin/ に、 外部プログラム "dgpam" をインストールすることで、 スーパーユーザ特権をともなう DeleGate を走らせることを回避できます。

実験 PAM/HTTP サーバ の初期ポート番号は、8686 です。 他のポートは、 AUTHRIZER=-pam//host..port で指定できます。例) AUTHORIZER="-pam//hostX..8765/passwd"

PAM/HTTP プロトコルは、以下のような HTTP 互換の 要求/応答メッセージ書式を使用します。

要求:
  GET /-/pam/service/auth HTTP/1.0
  Authorization: Basic BASE64of(User:Pass)

応答 (次のうちのひとつ):
  HTTP/1.0 200 OK, authorized
  HTTP/1.0 401 Not authorized
  HTTP/1.0 403 Forbidden to use the PAM server

要求 URL の基点 "/-/pam/" は、PAMCONF="baseurl:/basePath/" で、 任意のパスに置き換えることができます。 要求 URL 全体は、PAMCONF="url:/path" で置き換えられます。 現仕様では、応答メッセージ中の内容は注意されませんが、 将来、いくつかの認証関連情報または、 能力情報は伝達できるようになります。

次の書式により、あなたは、PAM-DeleGate に代えて、CGI 等を伴う HTTPサーバ などを使用し、PAM サーバを開発できます。

SOCKMUX parameter*  ==  host:port:option[,option]*
            option  ==  acc | con | ssl
                    --  default: none
                    --  status: tentative

SOCKS, PROXY, MASTER ( 2つの DeleGate を連続させる) とともに指定したとき、 DeleGate 間の通信は、SockMux を使い 持続性のひとつの接続上で多重化されます。 これは、(お互い長い RTT があり遠い) DeleGate 間で繰り返されるたくさんの 接続を確立させるための遅延を削減するのに使えます。

host:port は SockMux の持続的接続を確立する 対象のポートを指定します。 接続は、"con" オプションを持つ DeleGate から、 "acc" オプションを持つ DeleGate へ確立されます。

オプション:

acc -- "host:port" で SockMux 接続を受け付ける。
con -- "host:port" へ、SockMux 接続する。
ssl -- "Credhy" 暗号化の代わりに SSL を使う。

例) SockMux 越えで SOCKS プロキシを連鎖する

hostA% delegated SOCKMUX=hostA:8000:acc SERVER=socks -P2080
hostB% delegated SOCKMUX=hostA:8000:con SERVER=socks -P1080 SOCKS=hostA:8000


例) SockMux 越えで SOCKS プロキシを連鎖する(サーバ側から接続する)

hostA% delegated SOCKMUX=hostB:8000:con SERVER=socks -P2080
hostB% delegated SOCKMUX=hostB:8000:acc SERVER=socks -P1080 SOCKS=hostA:8000


例) SockMux 越えで HTTP プロキシを連鎖する

hostA% delegated SOCKMUX=hostA:8000:acc SERVER=http -P9080
hostB% delegated SOCKMUX=hostA:8000:con SERVER=http -P8080 PROXY=hostA:8000


例) SockMux 越えで連鎖した SOCKS プロキシ経由の HTTP

hostA% delegated SOCKMUX=hostA:8000:acc SERVER=socks -P2080
hostB% delegated SOCKMUX=hostA:8000:con SERVER=http -P8080 SOCKS=hostA:8000

SOXCONF parameter*  ==  confSpec[,confSpec]*
                    --  default: none

SockMux は、DeleGate 間通信用に設計された実験段階のプロトコルです これは、"ポートフォワーディング" を行うためのシンプルなプロトコルで、 単一の常駐接続上で複数の、受付、転送、および、切断を行います。 一組の SockMux-DeleGate は、その間で接続を生成/保持し、 そして、ローカルからリモートへのポートの転送は互いの接続上で行われます。

常駐接続は、レセプタ側では、"-Phost:port" パラメータ、コネクタ側では、 "SERVER=sockmux://host:port" によって生成されます。 外部のリモートへの転送を行うため、接続を受理するポートは、 PORT="listOfPorts パラメータで指定します。 リモートから内部サーバへの接続は、接尾文字列 ",-in" を、SERVER="telnet://host:23,-in" のようにつけて指定します。

1つの内部への接続は、指定したプロトコルのプロキシである DeleGate で処理できます。 プロトコル名が、SERVER="telnet,-in" または "-in" が 接尾された "-in(option list)" のような 指定をした場合のみ、DeleGate は接続処理を呼び出します。 オプションリスト は、起動された DeleGate に コマンドラインオプションリストとして渡されます。 例）SERVER="telnet://host,-in(+=config.cnf)" は、 ``delegated SERVER=telnet://host +=config.cnf'' のような コマンドラインオプションで、DeleGate を起動します。

例) 双方向 SockMux-DeleGate

hostX% delegated SERVER=sockmux -PhostX:9000 PORT=9023 SERVER="telnet://hostX,-in"
hostY% delegated SERVER=sockmux://hostX:9000 PORT=9023 SERVER="telnet://hostY,-in"
// 一組の SockMux-DeleGate は、"hostX:9000" のポートに接続し、その後、
// ポート "hostX:9023" は、"telnet://hostY" に転送され、
// ポート "hostY:9023" は、"telnet://hostX" に転送されます。


例) 単方向 SockMux-DeleGate

hostX% delegated SERVER=sockmux -PhostX:9000 SERVER="telnet://hostX,-in"
hostY% delegated SERVER=sockmux://hostX:9000 PORT=hostY:9023
// hostY:9023 は "telnet://hostX" に転送されます。

例）単方向 を proxy-Telent-DeleGate へ

hostX% delegated SERVER=sockmux -PhostX:9000 PORT=hostX:9023
hostY% delegated SERVER=sockmux://hostX:9000 SERVER="telnet,-in"
// hostX:9023 は、hostY　上の telnet プロキシへ転送されます。

SockMux をソケット間のデータ中継に使用する場合、 アプリケーションプロトコルを解釈せずに SockMux 上を中継します。 このような中継は、SERVER パラメータの代わりに、 DEST パラメータを使用することで、以下のように、簡単な表記で表現できます：

DEST=host:port[:srcHostList] は次のもの用 SERVER=tcprelay://host:port,-in[:-:srcHostList]
DEST=host:port/udp[:srcHostList] は次のもの用 SERVER=udprelay://host:port,-in[:-:srcHostList]

例) SockMux 経由の tcprelay

hostX% delegated SERVER=sockmux://hostY:9000 PORT=hostX:111
hostY% delegated SERVER=sockmux -PhostY:9000 DEST=hostT:111
// hostX:111/tcp は、hostY 経由で hostT:111/tcp のサーバに転送されます。

Example: SockMux/TCP 経由で UDP を中継する

hostX% delegated SERVER=sockmux://hostY:9000 PORT=hostX:53/udp
hostY% delegated SERVER=sockmux -PhostY:9000 DEST=hostU:53/udp
// hostX:53/udp は、hostY 経由で、hostU:53/udp のサーバに転送されます。

これらは、他の方法として、名前付パイプのような単一の FIFO デバイスを使用し 2つの SockMux-DeleGate 間の常駐接続を作ります。 それは、SERVER=sockmux:commtype@fifoName のように指定し、 この、commtype は、"commin", "commout", "comm" の内一つで、 それぞれ、単方向入力，単方向出力，双方向入出力を表します。

例）ホスト上の FIFO デバイスを使用する。

% mkfifo /tmp/com0
% mkfifo /tmp/com1
serv1) SERVER=sockmux:commin@/tmp/com0 SERVER=sockmux:commout@/tmp/com1 ...
serv2) SERVER=sockmux:commin@/tmp/com1 SERVER=sockmux:commout@/tmp/com0 ...


例）2ホスト間の通信ポートを使用する (未テスト)

host1) SERVER=sockmux:comm@com1 ...
host2) SERVER=sockmux:comm@com2 ...


常駐接続は DeleGate により起動された外部プログラムにより生成できます。 プログラムの処理は、 ファイルディスクリプタ番号 0 および、1 で DeleGate とのソケット でやり取りされます;

例) 外部コマンドを使用して接続を開始する。

% SERVER="sockmux:proc@connectCommand" ...


リモートから内部への接続するための対象サーバは、 受け付けたリモートポートによって選択できます。 SERVER パラメータに、 ":-:-Pxxxx" を後置することで、PORT=xxxx によりリモートホスト上で 受け付けられた接続にのみ有効になります。

例）複数のポートを転送する

hostX% ... PORT=8023,8080
hostY% ... SERVER=telnet,-in:-:-P8023 SERVER=http,-in:-:-P8080
// hostX:8023 は、hostY 上の テルネットプロキシに転送されます。
// hostX:8080 は、hostY 上の HTTP プロキシに転送されます。


注記）FTP データ接続の転送は、(まだ)サポートされません。

SERVER=socks での、Socks-DeleGate は SocksV4 と SocksV5 の両方を受け付けますが、 SERVER=socks4 と SERVER=socks5 は それぞれ、SocksV4 と SocksV5 だけを受け付けます。 現在、SocksV5 における USER/PASS 認証の仕組みのみ使用可能です。

例) Socks-DeleGate

# delegated -P1080 SERVER=socks
例) 上流Socksサーバに転送する。
# delegated -P1080 SERVER=socks SOCKS=sockhost

Socks-DeleGate サーバ経由で内向けの TCP 接続を許可する場合、 そのために使用されるネットワークインターフェースは、DeleGate が自動的に選択します (DST.ADDR または、SOCKS クライアントから BIND コマンドのパラメータとして送られた、DSTIP を基準として)。 SRCIF を指定した場合、擬似プロトコル名 "tcpbind" と共に、 ネットワークインターフェース（およびポート番号）を指定できます。 パラメータの完全な書式は、 SRCIF= "[host]:[port]:tcpbind[:dstHostList[:srcHostList]]" となります。 通常、host フィールドには、選択するネットワークインターフェースのみを、 SRCIF="150.29.202.120::tcpbind" のように指定します。

SOCKSTAP parameter*  ==  ProtoList[:[dstHostList][:[srcHostList][:params]]]
                     --  default: none

SOCKS サーバで指定した場合、SOCKS 越えで転送されるデータストリームは、 それぞれのアプリケーションプロトコルで解釈されます。 例えば SOCKSTAP=http では、delegated は 転送されるプロトコルが HTTP プロトコルとして検出されたときに SERVER=http として動作します。

例) HTTP と FTP でキャッシュを行う Socks-DeleGate

% delegated -P1080 SERVER=socks CACHE=do SOCKSTAP=http,ftp

例) 上流プロキシとともに、HTTP のキャッシュを行う Socks-DeleGate

% delegated -P1080 SERVER=socks SOCKSTAP="http:::CACHE=do PROXY=pxserv:8080"

See http://www.delegate.org/delegate/sockstap/> for more details.

例) 単一 HTTP プロキシ DeleGate
firewall% delegated -P8080 SERVER=http

この DeleGate を内部ホスト上のクライアントから使う場合、 HTTP, HTTPS (Security), FTP, Gopher, Wais などの プロキシに "firewall:8080" を指定します。

例) 多段 HTTP プロキシ DeleGate

firewall% delegated -P8888 SERVER=delegate RELIABLE=internal
internal% delegated -P8080 SERVER=http MASTER=firewall:8888


内部ホストからの要求のみ受け付ける generalist DeleGate を firewall 上で走らせ、firewall ホスト上の generalist を使用する、 specialist を内部で、走らせる。 generalistは、上流 DeleGate として、 任意プロトコルの複数の DeleGate で共有できます。

例） 元 HTTP サーバ DeleGate

host# delegated -P80 SERVER=http \

MOUNT="/* /path/of/www/*" RELAY=no RELIABLE="*"

名前に ".cgi" 拡張子を持つファイルは、CGIスクリプトとみなされます。 次のように、MOUNT で指定したディレクトリ内の 任意名の CGI スクリプトを使用できます:
MOUNT="/xxx/* cgi:/path/of/cgi-bin/*"

例) DeleGate を CGI プログラムとして使う

DeleGate を、HTTP サーバからの CGI プログラムとして使用できます。 例) 次のように、HTTP サーバ (A) の "httpd.conf" ファイル内で指定する。
Exec /other/* /path/of/cgi-delegate
続けて、次のような内容のファイル /path/of/cgi-delegate を書きます:
#!/bin/sh


delegated -Fcgi

MOUNT="/-* =" \
MOUNT="/www2/* http://wwwserv2/*" \
MOUNT="/news/* nntp://newsserv/*"


これは、 /other/www2/（HTTP サーバ "wwwserv2" の内容）と、 /other/news/（NNTP サーバ "newsserv" の内容）を含む、 擬似サブツリー "/other/" をサーバ (A) に追加します。

HTTP プロトコル用 PROTOLOG 書式は、PROTOLOG="LogFilename:format" として、 LogFilename に後置した、任意の指定書式により変更できます。 この場合、デフォルトのファイル名は省略できます。 例) PROTOLOG=":%X" の指定は、NCSA 互換の拡張共通ログファイル書式を作ります。 デフォルトの書式は、PROTOLOG=":%C %D" です。

%C	-- CERN-HTTPD の共通ログファイル書式
%c	-- ミリ秒解像度を持った日付が記録されるのを除き、%C と同じ
%D	-- DeleGate による拡張 (connTime+relayTime:status)
%X	== '%C "%r" "%u"' Referer と User-Agent付きの共通ログファイル書式
%r	-- 要求メッセージ中の Referer フィールド
%u	-- 要求メッセージ中の User-Agent フィールド
%S	-- サーバへの CONNECT ステータス (c,m,p,d,s,v)
%s	-- HTTPCONF=session によるセッション ID
%As	-- ダイジェスト認証中のセッション ID
%{field}	-- 要求メッセージ中の任意のフィールド

%C での、クライアント情報部は、ホスト名，Ident，および、ユーザ名が、 デフォルトで記録され、AUTH="log:" パラメータで変更できます。

"%s" により出されるセッション識別子は、 AUTHORIZER=-dgauth オプションによって生成された "%As" の間、 HTTPCONF=session:cookie によって生成されています。 セッション識別子の書式:

time.pid.proc#+conn#[+req#].reqnum

例) "031114-173045.1234.5+6+7.9" は、PID=1234 のプロセスによって、 November 14 の 17:30:45 に開始されたセッション中での クライアントからの 9回目の要求であることを意味します。 セッションの開始は、LOGFILE にこのように記録されます。

11/14 17:30:45 [1234] 5+6/7: NewSession 031114-173045.1234.5+6+7.0

注記: reqnum 部分は、並列、または、パイプライン 要求がセッション所有者であるクライアントによって生成された場合、 ユニークではありません。 注記: "%As" 用の reqnum 部は、それぞれの要求で加算されないかもしれません。 なぜなら、セッション識別子のコンテナ (この場合、ダイジェスト認証の "opaque" パラメータ) が、それぞれの要求で更新されないかもしれないからです。

HTTPCONF parameter == what:conf

welcome:listOfWelcomeFiles

-- default: welcome.dgp,shtml,index.[dgp,shtml,html,cgi},-dir.html
インデックスファイルか、"/path/" のように "/" で終わるディレクトリの URL のために使わなければならない、CGI スクリプトのリスト。 これは、ファイル名の候補リストです。 リストは "-dir.html" で終了することができ、 これは、組み込みインデックスジェネレータを意味します。 リストが空の場合、空データがインデックスデータの代わりになります。

search:pathOfSearchScript

-- default: none
"/path?search" のような検索部をともなう URL に利かせる CGI スクリプトのパス。 これは、全ての URL に利かせるグローバル設定です。 それぞれの MOUNT ポイントに対して、 ローカルな検索スクリプトも次のように指定できます。

MOUNT="/path2/* /root/of/path2/* search:script2".

この、ローカルな設定は、 グローバルなものに優先します。 特殊ローカル設定 "search:-" で、 MOUNT ポイントに対するグローバル設定を無視できます。

methods:listOfAcceptableMethods

-- default: methods:OPTIONS,GET,HEAD,POST,PUT,...
-- LOGFILE に書かれたログ (HTTPCONF=methods:"+") を参照して下さい。
許可する HTTP 機能を制限/追加します。


例)

HTTPCONF=methods:GET,HEAD -- GET と HEADのみ、許可
HTTPCONF=methods:-POST,-PUT -- POST と PUT を不許可
HTTPCONF=methods:+,NEWMETHOD1 -- NEWMETHOD1 を追加許可
HTTPCONF=methods:* -- 全て許可


rvers:listOfAcceptableResponseVersions

-- default: rvers:HTTP
HTTP サーバの応答メッセージ中にバージョンを追加する。

例)

HTTPCONF=rvers:+,ICY
HTTPCONF=rvers:* -- 全バージョンの応答を許可

post-ccx-type:listOfTypes

-- default: post-ccx-type:x-www-form-urlencoded
CHARCODE による変換を適用する 要求メッセージ中の Content-Type 名一覧を指定する。

例)

HTTPCONF=post-ccx-type:+,multipart/form-data

cryptCookie:listOfCookies:cryptKey


listOfCookies == attributes[@domains]
attributes == attribute | {attribute,attribute,...}
domains == domain | {domain,domain,...}
domain == [.]domainName
cryptKey == string | %a | %P

クライアントに保存される Set-Cookie 応答内の指定した属性を暗号化し、後で、 復号し、Cookie 発行元だけに Cookie 要求を転送します。 Cookie 内の属性は、"attribute@host" または "attribute@.domain" で指定します。 前者では、host で生成された cookie は暗号化され、 host にだけ、エコー(返され)されます。 後者では、domain 内のホストで生成された cookie を、 domain 内のホストにエコー(返せ)せます。 cryptKey 内の特殊文字列 "%a" は、 クライアントの IP アドレスに置き換えられます。 これは、その IP アドレスを持つホスト上のクライアントからのみ 暗号化 Cookie を使えるようにします。

例)

HTTPCONF="cryptCookie:SessionID@host1.dom1,UserID@.dom2:nanjamonja"
HTTPCONF="cryptCookie:UserID@.dom:nanjamonja"
HTTPCONF="cryptCookie:UserID@{host1.dom,host2.dom}:nanjamonja"


kill-[i][qr]head: listOfHeaders

サーバ/クライアントへ送られる要求/応答メッセージを転送する前に、 listOfHeaders に含まれるヘッダフィールドを削除します。 "kill-qhead" は、サーバへ向けた要求メッセージにのみ適用され、 "kill-rhead" は、クライアントへの応答メッセージにのみ適用されます。 もし、"kill-iqhead:Pragma,Cache-Control" のように、"i" が前置されるなら、 指定されたフィールドは、DeleGate が HTTP ヘッダとして解釈する前に削除されます。

例)

HTTPCONF=kill-qhead:Referer
HTTPCONF=kill-qhead:If-*,Accept-*
HTTPCONF=kill-rhead:Set-Cookie


add-[i][qr]head:name:body

転送する要求/応答メッセージに、ヘッダ name:body を追加する。 クライアントの識別情報は、 "%format" 表記により、 body 文字列に挿入できます。 "i" が、"add-ihead:Pragma:no-cache" のように前置されるなら, ボディとともに指定されたフィールドは、クライアント/サーバからの HTTP ヘッダとして DeleGate で解釈される入力に追加されます。

例)

HTTPCONF="add-qhead:X-Forward-For:%a"


replace-[i][qr]head:name:body

転送される要求/応答メッセージ内のヘッダ "name:" を、 "name:body" で置き換える。 これは、kill-head と、add-head の組合せと同じです。

例)

HTTPCONF=replace-qhead:Referer:http://x.y.z
HTTPCONF=kill-qhead:Referer HTTPCONF=add-qhead:Referer:http://x.y.z

kill-tag: listOfTags

サーバからの、text/html 応答中で listOfTags に指定されたタグが 使用されている場合、それを無効にします。

例)

HTTPCONF=kill-tag:SCRIPT,APPLET


ver:1.0

HTTP/1.0 クライアント/サーバとして動作

svver:1.0

HTTP/1.0 サーバに対するクライアントとして動作 (HTTP/1.0 で、要求を送信)

clver:1.0

クライアントに対して、HTTP/1.0 サーバとして動作 (応答中で、chunked エンコードを使用しない)

acc-encoding:encoding [-thrugzip]

Accept-Encoding ヘッダをサーバに送ります。 これは、DeleGate が行う、MOUNT, CHARCODE, CACHE などをともなういくつかの コンテンツ翻訳作業に適用されます。このような翻訳作業を行うとき、 コンテンツ (応答ボディ) を DeleGate が知らないフォーマットにエンコードできません。 "identitiy" は、サーバ上のコンテンツエンコーディングを無効にすることを指定します。 "-thrugzip" は、Accept-Encoding:gzip をクライアントからサーバへ転送します。 "gzip" プログラムが DeleGate ホスト上で利用可能な状態に無い場合 (すなわち LIBPATH に内に見つからない)、 "identity" が、常に送られます。

gen-encoding:encoding [gzip]

このエンコーディングは、DeleGate から クライアントに送られる内容に適用されます。 現実装では、"gzip" のみが有効です。 "identity" やその他のものは、すべてのエンコーディングを無効にします。

tout-wait-reqbody:period [30]

要求ボディ内の最初のデータ待時間の最大値

tout-in-reqbody:period [15]

要求ボディ内の次のデータを待ち時間の最大値 （クライアントサイドの遅いフィルタプログラムのため、調整できます）

tout-buff-reqbody:period [5]

サーバに送る要求メッセージをバッファする最大値

tout-cka:period [5]

クライアントとの接続を確保する最大値 (タイムアウト値は、それぞれのクライアントホストからの最初の接続から10回長くなっていきます）

max-cka:number [20]

キープアライブ中の単一ホストからの中継要求の最大数 （それぞれのクライアントホストからの最初の接続にから10回、より大きな値が提供されます）
これは、CONNECT メソッドによる SSLtunnel 接続経由の通信にも適用されます。 一組の上り/下りデータは、HTTP 上の一組の要求/応答とみなされ、それらの最大数が制限されます。

max-ckapch:number [8]

クライアントホスト単位でのキープアライブ接続の最大数

max-reqline:length [4k]

許容する要求文字長の最大値

max-reqhead:length [12k]

許容する要求ヘッダ長の最大値

max-gw-reqline:length [512]

他のプロトコルの他のサーバに転送する要求文字長の最大値

max-hops:number [20]

HTTP プロキシチェーンの最大ホップ数

tout-resp:period [TIMEOUT=io]

サーバからの応答待ち時間の最大値

tout-pack-intvl

[0.25]

CONNECT メソッドによる SSLトンネル 上で中継されるパケット間隔の最大値

halfdup

CONNECT メソッドによる SSLtunnel の全二重使用を禁止します。

urlesc[:escChars] [empty]

処理を行なう前に、要求 URL 中のキャラクタセット を "%XX" 表記により、エスケープします。 特殊なケースで、HTTPCONF="urlesc" は、HTTPCONF="urlesc:<>" を意味します。

proxycontrol[:[on|off]]

要求 URL 中 の "?_?" に続くサブストリングを、DeleGate の制御情報として理解します。 DeleGate が URL?_?proxycontrol の要求を受けた場合、 URL 部のみサーバに転送され、また、proxycontrol 部は（可能ならば）DeleGate が使用します。

cka-cfi

クライアントキープアライブ (外部フィルタ(FCL,FTOCL)含む) をともなった接続を確立します。

nolog:listOfCodeType[:connMap]

listOfCodeType == [ respCode / ][ Type [ / subType ] ]
アクセスログ (PROTOLOG) に書き込まない応答コードまたは、 応答メッセージ中の Content-Type を指定します。

例)

HTTPCONF="nolog:302,304,image"


xferlog:ftp

xferlog 書式でも FTP/HTTP 処理を記録します。

bugs:listOfBugs

listOfBugs は、以下のような現存するバグを回避するために 指定した機能を無効にします:

no-gzip ... Content-Encoding:gzip を無効にします。

no-keepalive ... Connection:Keep-Alive を無効にします。

no-keepaliveproxy ... クライアント側プロキシとの Connection:Keep-Alive を無効にします。

no-chunked ... Transfer-Encoding:chunked を無効にします。

no-flush-chunk ... それぞれの chunk 後に応答をフラッシュしないようにします。

kill-contleng ... chunk されたエンコード内の元の Content-Length を削除します。

do-authconv ... クライアントのベーシックから、サーバのダイジェスト認証変換を有効にします。

svauth:no-basic

クライアントからサーバへのベーシック認証 (平文テキストパスワードを含む) の転送を停止します。 サーバがダイジェスト認証をサポートしている場合、DeleGate がクライアントに代わり それを行います。

svauth:less-basic

クライアントからサーバへのベーシック認証の転送を、 サーバがベーシック認証を要求するまで延期します。

session:cookie

クッキーによるセッション管理を有効にします。 セッション識別子 は、 CFI/CGI プログラムに、環境変数 "X_DIGEST_SESSION" で渡され、 さらに、PROTOLOG でログを取ることができます。

例)

HTTPCONF=session PROTOLOG=":%s %X"

例)

HTTPCONF=search:/path/of/searchScript
MOUNT="/bin/* cgi:/path/of/cgi-bin/* search:-"
MOUNT="/* file:/path/of/data/*"

FILETYPE parameter  ==  suffix:gopherType:altText:iconName:contentType
                    --  default: FILETYPE=".txt:0:TXT:text:text/plain"
                                 FILETYPE=...

ファイル名を、content-type マッピングに定義します。

gopherType:

0 - text, 1 - directory, 4 - BinHex, 6 - uuencode, 9 - binary, g - gif, I - image, ...

altText:

テキストのみの表示で、アイコンイメージに対して表示するテキストを選択します (<IMG ALT="altText" ... >のように、HTML テキスト中に埋め込まれた IMG タグ)。

iconName:

binary, binhex, compressed, directory, document, ftp, gzip, image, index, index2, movie, sound, tar, telnet, text, unknown, uu (see http://delegate/-/builtin/icons/) の内1つ。

contentType:

text/plain, image/gif, ... (RFC2045参照)

例)

FILETYPE=".txt:0:TXT:text:text/plain"
FILETYPE=".gif:g:GIF:image:image/gif"

CGIENV parameter    ==  CGIENV=name[,name]*
                    --  default: CGIENV="*"

HTTP-DeleGate 用のマウントオプション

条件：

vhost={HostList} -- 仮想ホストの突き合わせと書換え。

要求の書換え時、要求メッセージ中の "Host:" フィールドの値が、 HostList に含まれるとき、真となり、 また、応答書換え時には無条件に真となります。 それは、応答に対する、特殊な書換えにより、仮想ホスト をサポートし、 応答メッセージ中のすべての実ホストの完全な URL を仮想ホストのそれに書き換えます。

qmatch=pattern -- 要求ヘッダのパターン突き合わせ

pattern が 要求ヘッダ中の文字列と一致した場合、真。 (例: qmatch=*User-Agent:*compatible;%20MS*)

dstproto={ProtoList} -- 指定したプロトコルのサーバに対して

対象サーバのプロトコルが ProtoList に含まれる場合、真。

method={methodList} -- 要求手段

現要求のアクセス手段が、methodList に含まれる場合、真。

asproxy

DeleGate が、プロキシサーバとして呼ばれた (完全な URL 書式で要求された URL で) 場合に、真。

!asproxy

DeleGate が、要求内でプロキシサーバとしてアクセスされなかった場合に、真。

withquery

要求された URL が、 "?query" 部を持つ場合、真。

制御：

authorizer=authServList

MOUNT ポイントに適用する AUTHORIZER。 MountOption と、コマンドラインオプションの 両方に AUTHORIZER が指定された場合は、 MountOption の内ひとつが使用されます。

moved[={300|301|302|303}]

書換えでの "Location:rURL" に "302 Moved" 応答が返った場合、 rURL に中継しません。 同一サーバ上での書換えは、MOUNT="/path1 ///path2 moved" のように、 rURL 内の host-name 省略 を使用して楽にできます。

useproxy[=proxyURI]

"305 Use Proxy" 応答メッセージを生成します。 proxyURI が省略されるか、"direct" を指定した場合、 応答メッセージは、"Set-Proxy: DIRECT" として、 Set-Proxy フィールドをともなって送信されます。 他の場合、URI はフィールド中に "Set-Proxy: SET; proxyURI=proxyURI" がセットされます。

realm=realmString

認証の範囲を指定します。

forbidden

forbidden として要求を拒否します ("rcode=403" と同じ意味)

unknown

unknown として要求を拒否します ("rcode=404" と同じ意味)

rcode={300|301|302|303|304|305|306|403|404}

指定したステータスコードの応答を返します。 エラーメッセージをカスタマイズするとき便利です。

onerror[=listOfCodes]

この MOUNT エントリはエラー発生時の応答メッセージの代わりに使えます。 これは、要求に対する応答状態コードがエラー (4xx または 5xx) である場合と、 listOfCodesが指定され、そこに、応答状態コードが存在する場合に適用されます。 例) MOUNT="/path/* file:/tmp/autherr.cgi onerror={401,407}" は、 /tmp/autherr.cgi からの出力が、"/path/" 以下の URL へのアクセスで 認証エラーが発生した場合に、送信されます。

robots={no|ok}

ロボットによる検索の許可/不許可。 NNTP と FTP では、デフォルトは "no" で、 他のプロトコルでは、"ok" です。

genvhost=host

その仮想名として対象サーバが受け取るホスト名を指定する。 それは、サーバに転送される要求メッセージ中の "Host: host" フィールド内にセットされます。 要求が 単一の HTTP プロキシ経由で転送されるときに、http://host... として要求 URL 内にセットされます。 対象サーバを示す、MOUNT パラメータの rURL 部分に由来するサーバに、 デフォルトの Host フィールドを送る。 たとえば、MOUNT="/* http://hosti:8080/*" は、"Host: hosti:8080" をサーバ (hosti:8080 ポートで動作している）へ転送します。 クライアントからサーバへの要求中の Host フィールドをスルーパスするには、 "genvhost=-thru" を指定します。

ftosv=-cc-charCode

サーバに転送される HTTP ヘッダのキャラクタセットを charCode (jis|sjis|euc|utf8) に変換する。

pathext=string

DeleGate が元サーバであり、要求 URL に対するファイルを検索する際、 指定された string で拡張されたパス名が最初に検索されます。 "pathext=-ja" の場合を例にとると、 "index-ja.html" が、"index.html" より先になります。 これは、以下の様に他の MOUNT 条件と組み合わせた場合便利です。 MOUNT="/* file:data/www/* vhost=www.delegate.jp,pathext=-ja"

例) 仮想ホスティング，複数の HTTP サーバとして動作する

対象サーバ、または、ローカルディレクトリは、DeleGate が参照された名前 ("Host:vhost" ヘッダフィールド内の) によって切り替わります。 この例では、"http://dom1.com" および "http://dom2.org" に対する要求は、 それぞれの対応するサーバに転送され、"http://dom3.net" 他の名前への要求は、 対応するローカルディレクトリが検索されます。

MOUNT="/* http://wwwA/* vhost=-dom1.com"
MOUNT="/* http://wwwB/* vhost=-dom2.org"
MOUNT="/* file:data/wwwC/* vhost=-dom3.net"
MOUNT="/* file:data/www/*"


例)

"useproxy", "method", "dst", "withquery" オプションは、元々、 潜在的に厄介なアクセス (対象サーバの CGI プログラムを呼出すような) を拒否するために取り入れられました。 例) POST メソッドをともなう要求、または、"?" をともなう URL を拒否するには:

MOUNT="http:* = method=POST,asproxy,useproxy"
MOUNT="http:* = withquery,asproxy,useproxy"

ICPCONF parameter*  ==  ICPCONF={icpMaxima|icpConf}
         icpMaxima  ==  para:N|hitage:N|hitobjage:N|hitobjsize:N|timeout:N
           icpConf  ==  icpOptions:ProtoList:dstHostList:srcHostList
                    --  default: ICPCONF=para:2,hitage:1d,...

FTPCONF parameter*  ==  FTPCONF=ftpControl[:{sv|cl}]
           ftpControl  ==  nopasv | noport | noxdc | rawxdc
                    --  default: none

SMTPCONF parameter* ==  SMTPCONF=what:conf
                    --  default: SMTPCONF=bgdatasize:64K

SMTPGATE parameter  ==  SMTPGATE=dirPath
                    --  default: SMTPGATE='${ETCDIR}/smtpgate'

NNTP の MountOption

NNTPCONF parameter* ==  what:conf
                    --  default: NNTPCONF=upact:600/300/120

DNSCONF parameter*  ==  what:value

リリース 9.6.0            最終更新: 2007年5月20日

--------- --------- --------- --------- --------- --------- --------- ---------