Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

17.14.11. 高级过滤器配置主题

以下部分讨论高级过滤配置主题。

17.14.11.1. 连接跟踪

网络过滤子系统(在 Linux 中)利用连接跟踪支持 IP 表。这有助于强制网络流量(状态匹配)的方向,以及计算和限制与客户机虚拟机的同时连接数量。例如,如果 guest 虚拟机作为服务器打开了 TCP 端口 8080,客户端可以在端口 8080 上连接到 guest 虚拟机。连接跟踪和执行方向,然后阻止客户机虚拟机发起连接(TCP 客户端)端口 8080 到主机物理机重新到远程主机物理机器。更为重要的是,跟踪可帮助远程攻击者建立回客户机虚拟机的连接。例如,如果客户机虚拟机中的用户建立了与攻击者站点上的端口 80 的连接,则攻击者将无法从 TCP 端口 80 发起连接回客户机虚拟机。默认情况下,连接状态与启用连接跟踪,然后打开流量方向的强制实施。

例 17.9. 关闭到 TCP 端口的 XML 示例

下面显示了一个示例 XML 片段,此特性已被关闭,以便传入到 TCP 端口 12345。
   [...]
    <rule direction='in' action='accept' statematch='false'>
      <cp dstportstart='12345'/>
    </rule>
   [...]
现在,允许传入流量到 TCP 端口 12345,但也会从虚拟机中启用从(客户端)TCP 端口 12345(可能可能也可能不取)的启动。