Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
17.14.9. 过滤规则
以下 XML 显示了一个简单的网络流量示例,在传出 IP 数据包中的 IP 地址(通过变量 IP 的值提供)时,会过滤实施规则以丢弃流量,从而防止虚拟机 IP 地址欺骗。
例 17.8. 网络流量过滤示例
<filter name='no-ip-spoofing' chain='ipv4'>
<uuid>fce8ae33-e69e-83bf-262e-30786c1f8072</uuid>
<rule action='drop' direction='out' priority='500'>
<ip match='no' srcipaddr='$IP'/>
</rule>
</filter>
流量过滤规则以规则节点开头。此节点可能包含以下三个属性:
- 操作是必须的:
- drop(匹配规则会静默地丢弃数据包而不进行进一步分析)
- reject(匹配规则会生成 ICMP 拒绝消息,而不进行进一步分析)
- 接受(匹配规则接受不进一步分析的数据包)
- 返回(匹配规则通过此过滤器,但返回到调用过滤器以便进一步分析)
- 继续(匹配规则进入下一规则以便进一步分析)
- 方向是强制值:
- 中用于传入流量
- 出站流量
- 传入和传出流量
- 优先级是可选的。规则的优先级控制规则相对于其他规则的实例化顺序。具有较低值的规则将在具有更高值的规则前实例化。有效值在 -1000 到 1000 范围内。如果未提供此属性,则默认分配优先级 500。请注意,根据优先级,在 root 链中过滤规则按其优先级对连接到 root 链的过滤器进行排序。这允许交集过滤规则,并可访问 来过滤链。如需更多信息,请参阅 第 17.14.3 节 “过滤链优先级”。
- statematch 是可选的。可能的值有 '0' 或 'false',用于关闭底层连接状态。默认设置为 'true' 或 1
如需更多信息,请参阅 第 17.14.11 节 “高级过滤器配置主题”。
上面的 例 17.7 “清理流量过滤器的示例” 示例表示,类型为 ip 的流量将 与链 ipv4 关联,该规则将具有 priority=500。例如,如果一个过滤器被引用,其 类型为 ip 的流量也与 chain ipv4 关联,那么该过滤器的规则将按照所示规则的 priority=500 进行排序。
规则可以包含单个规则,用于过滤流量。以上示例显示要过滤类型为 ip 的流量。
