19.12.11. 高度なフィルター設定について

次のセクションでは高度なフィルター設定について解説していきます。

19.12.11.1. 接続の追跡

ネットワークフィルターのサブシステム (Linux 上) では、IP テーブルの接続追跡のサポートを利用しています。ネットワークトラフィックの方向性を強制する (状態一致) 他、ゲストに対する同時接続数をカウントし制限するのに役立ちます。たとえば、ゲスト仮想マシン側で TCP ポート 8080 をサーバーとして開くと、クライアントはポート 8080 でゲスト仮想マシンに接続することができます。接続の追跡と方向性の強制により、逆方向となるポート 8080 から (TCP クライアントから) ホストへの接続の開始は妨げられます。さらに重要な点は、追跡を行なうことにより、遠隔操作によりゲスト仮想マシンへの接続を確立するような攻撃を防ぐことができます。たとえば、ゲスト仮想マシン内のユーザーが攻撃者のサイトでポート 80 への接続を確立した場合でも、攻撃者は逆方向となる TCP ポート 80 からこのゲスト仮想マシンへの接続は開始できません。デフォルトでは、接続追跡およびトラフィックの方向性強制を有効にする接続状態一致はオンになっています。

例19.9 TCP ポートへの接続をオフにする XML 例

以下の XML の抜粋例では、TCP ポート 12345 への着信接続に対してこの機能をオフにしています。
   [...]
    <rule direction='in' action='accept' statematch='false'>
      <cp dstportstart='12345'/>
    </rule>
   [...]
これにより、TCP ポート 12345 への着信トラフィックが許可されますが、また仮想マシン内の TCP ポート 12345 (クライアント) からの接続開始も有効になります。状況により適している場合もありますが、適さない可能性もあります。