Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

18.12.9. フィルタールール

次の XML は、発信 IP パケットの IP アドレス (変数 IP の値によって提供される) が予期されたものではない場合に、トラフィックをドロップするルールを実装するネットワークトラフィックフィルターの簡単な例を示しています。これにより、VM による IP アドレスのスプーフィングを防ぎます。

例18.8 ネットワークトラフィックフィルターリングの例

<filter name='no-ip-spoofing' chain='ipv4'>
  <uuid>fce8ae33-e69e-83bf-262e-30786c1f8072</uuid>
  <rule action='drop' direction='out' priority='500'>
    <ip match='no' srcipaddr='$IP'/>
  </rule>
</filter>
トラフィックフィルターリングルールは、ルールノードで開始します。このノードには、次の属性のうち最大 3 つを含むことができます。
  • action は必須で、次の値を指定できます。
    • drop (ルールに一致すると、分析は行われずにパケットが静かに破棄されます)
    • reject (ルールを一致させると、分析は行われずに ICMP 拒否メッセージが生成されます)
    • accept (ルールを一致させるとパケットを受け付けますが、これ以上分析は行いません)
    • return (ルールを一致させるとこのフィルターが渡されますが、制御を呼び出しフィルターに戻して詳細な分析を行います)
    • continue (ルールの一致は次のルールに進み、詳細な分析が行われます)
  • direction は必須で、次の値を指定できます。
    • 着信トラフィックには in
    • 送信トラフィックには out
    • 着信および送信トラフィックには inout
  • priority は任意です。ルールの優先度は、他のルールに関連してルールがインスタンス化される順序を制御します。値が低いルールは、値が大きいルールの前にインスタンス化されます。有効な値の範囲は、-1000 から 1000 です。この属性を指定しないと、優先度 500 がデフォルトで割り当てられます。root チェーンのフィルターリングルールは、優先順位に従って、root チェーンに接続されたフィルターでソートルールが分類されることに注意してください。これにより、フィルターリングルールとフィルターチェーンへのアクセスをインターリーブできます。詳細は、「チェーンの優先度のフィルターリング」 を参照してください。
  • statematch はオプションです。設定可能な値は 0 または false で、基本的な接続状態の一致を無効にします。デフォルトの設定は true または 1 です。
詳しくは、「高度なフィルター設定のトピック」を参照する。
上記の例の例18.7「クリーンなトラフィックフィルターの例」は、type ip のトラフィックがチェーンipv4に関連付けられ、ルールが priority=500 であることを示しています。たとえば、別のフィルターが参照されており、そのトラフィックの type ip がチェーンipv4 にも関連付けられている場合は、そのフィルターのルールが、示されているルールの priority=500 を基準にして順序付けされます。
ルールには、トラフィックをフィルターリングするためのルールを 1 つだけ含めることができます。上記の例は、タイプ ip のトラフィックがフィルターリングされることを示しています。