Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
18.12.9. 필터 규칙
다음 XML은 나가는 IP 패킷에서 IP 주소(변수 IP의 값을 통해 제공)가 예상되지 않아 VM이 IP 주소를 스푸핑하는 경우 트래픽을 삭제하는 규칙을 구현하는 네트워크 트래픽 필터의 간단한 예를 보여줍니다.
예 18.8. 네트워크 트래픽 필터링의 예
<filter name='no-ip-spoofing' chain='ipv4'>
<uuid>fce8ae33-e69e-83bf-262e-30786c1f8072</uuid>
<rule action='drop' direction='out' priority='500'>
<ip match='no' srcipaddr='$IP'/>
</rule>
</filter>
트래픽 필터링 규칙은 규칙 노드로 시작됩니다. 이 노드는 다음 특성 중 최대 3개를 포함할 수 있습니다.
- 작업은 다음 값을 가질 수 있습니다.
- 삭제( 규칙을 자동으로 일치시키면 추가 분석 없이 패킷을 자동으로 삭제)
- 거부( 규칙을 일치하면 추가 분석 없이 ICMP 거부 메시지가 생성됨)
- 수락( 규칙을 더 이상 분석 없이 패킷을 수락)
- 반환( 규칙이 이 필터를 통과하고 추가 분석을 위해 호출 필터에 제어를 반환)
- 계속(조치 분석을 위한 다음 규칙으로 일치)
- 방향은 다음 값을 가질 수 있습니다.
- 들어오는 트래픽의 경우
- 나가는 트래픽의 경우
- 들어오고 나가는 트래픽의 수신 수신
- priority는 선택 사항입니다. 규칙의 우선 순위는 다른 규칙에 따라 규칙을 인스턴스화할 순서를 제어합니다. 값이 낮은 규칙이 더 높은 값이 있는 규칙보다 먼저 인스턴스화됩니다. 유효한 값은 -1000에서 1000까지의 범위에 있습니다. 이 속성을 제공하지 않으면 우선순위 500이 기본적으로 할당됩니다. 루트 체인의 필터링 규칙은 우선 순위에 따라 루트 체인에 연결된 필터와 함께 정렬됩니다. 이를 통해 필터 체인에 대한 액세스 권한이 있는 필터링 규칙을 인터리브할 수 있습니다. 자세한 내용은 18.12.3절. “체인 우선순위 필터링” 를 참조하십시오.
- statematch는 선택 사항입니다. 가능한 값은 기본 연결 상태를 끄는 '0' 또는 'false'입니다. 기본 설정은 'true' 또는 1입니다.
자세한 내용은 18.12.11절. “고급 필터 구성 주제” 에서 참조하십시오.
위의 예제 예 18.7. “정리된 트래픽 필터의 예” 는 ip 유형의 트래픽이 체인 ipv4 와 연결되며 규칙에 우선순위=500 이 있음을 나타냅니다. 예를 들어 다른 필터에서 ip 유형의 트래픽도 체인 ipv4 와 연결되어 있는 경우 해당 필터의 규칙이 표시된 규칙의 priority=500 에 따라 정렬됩니다.
규칙에는 트래픽 필터링을 위한 단일 규칙이 포함될 수 있습니다. 위 예제에서는 ip 유형의 트래픽이 필터링되는 것을 보여줍니다.
