Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
17.14.9. フィルタールール
次の XML は、発信 IP パケットの IP アドレス (変数 IP の値によって提供される) が予期されたものではない場合に、トラフィックをドロップするルールを実装するネットワークトラフィックフィルターの簡単な例を示しています。これにより、VM による IP アドレスのスプーフィングを防ぎます。
例17.8 ネットワークトラフィックフィルターリングの例
<filter name='no-ip-spoofing' chain='ipv4'>
<uuid>fce8ae33-e69e-83bf-262e-30786c1f8072</uuid>
<rule action='drop' direction='out' priority='500'>
<ip match='no' srcipaddr='$IP'/>
</rule>
</filter>
トラフィックフィルターリングルールは、ルールノードで開始します。このノードには、次の属性のうち最大 3 つを含むことができます。
- action は必須で、次の値を指定できます。
- drop (ルールに一致すると、分析は行われずにパケットが静かに破棄されます)
- reject (ルールを一致させると、分析は行われずに ICMP 拒否メッセージが生成されます)
- accept (ルールを一致させるとパケットを受け付けますが、これ以上分析は行いません)
- return (ルールを一致させるとこのフィルターが渡されますが、制御を呼び出しフィルターに戻して詳細な分析を行います)
- continue (ルールの一致は次のルールに進み、詳細な分析が行われます)
- direction は必須で、次の値を指定できます。
- 着信トラフィックには in
- 送信トラフィックには out
- 着信および送信トラフィックには inout
- priority は任意です。ルールの優先度は、他のルールに関連してルールがインスタンス化される順序を制御します。値が低いルールは、値が大きいルールの前にインスタンス化されます。有効な値の範囲は、-1000 から 1000 です。この属性を指定しないと、優先度 500 がデフォルトで割り当てられます。root チェーンのフィルターリングルールは、優先順位に従って、root チェーンに接続されたフィルターでソートルールが分類されることに注意してください。これにより、フィルターリングルールとフィルターチェーンへのアクセスをインターリーブできます。詳細は、「チェーンの優先度のフィルターリング」を参照してください。
- statematch はオプションです。設定可能な値は 0 または false で、基本的な接続状態の一致を無効にします。デフォルトの設定は true または 1 です。
詳細は、「高度なフィルター設定のトピック」 を参照してください。
上記の例の例17.7「クリーンなトラフィックフィルターの例」は、type ip のトラフィックがチェーンipv4に関連付けられ、ルールが priority=500 であることを示しています。たとえば、別のフィルターが参照されており、そのトラフィックの type ip がチェーンipv4 にも関連付けられている場合は、そのフィルターのルールが、示されているルールの priority=500 を基準にして順序付けされます。
ルールには、トラフィックをフィルターリングするためのルールを 1 つだけ含めることができます。上記の例は、タイプ ip のトラフィックがフィルターリングされることを示しています。