17.14.11. 고급 필터 구성 주제
다음 섹션에서는 고급 필터 구성 주제를 설명합니다.
17.14.11.1. 연결 추적
네트워크 필터링 하위 시스템(Linux)은 IP 테이블의 연결 추적 지원을 사용합니다. 이렇게 하면 네트워크 트래픽(상태 일치)의 방향과 게스트 가상 머신에 대한 동시 연결 수를 계산하고 제한하는 데 도움이 됩니다. 예를 들어 게스트 가상 시스템에 서버로 TCP 포트 8080이 열려 있는 경우 클라이언트는 포트 8080의 게스트 가상 머신에 연결할 수 있습니다. 그런 다음, 방향의 연결 추적 및 시행을 통해 게스트 가상 시스템에서 (TCP 클라이언트) 포트 8080에서 호스트 물리적 시스템에 다시 원격 호스트 물리적 시스템으로의 연결을 시작하지 못하게 합니다. 더 중요하게, 추적은 원격 공격자가 게스트 가상 머신에 대한 연결을 다시 설정하지 못하도록 하는 데 도움이 됩니다. 예를 들어 게스트 가상 머신의 사용자가 공격자 사이트에서 포트 80에 대한 연결을 설정한 경우 공격자가 게스트 가상 시스템으로 다시 TCP 포트 80에서 연결을 시작할 수 없습니다. 기본적으로 연결 추적을 활성화하고 트래픽 방향을 적용하는 연결 상태 일치가 설정됩니다.
예 17.9. TCP 포트에 대한 연결을 끄는 XML 예
다음은 TCP 포트 12345에 대한 수신 연결에 대해 이 기능이 꺼진 예제 XML 내용을 보여줍니다.
[...] <rule direction='in' action='accept' statematch='false'> <cp dstportstart='12345'/> </rule> [...]
이제 TCP 포트 12345로 들어오는 트래픽을 허용하지만 VM 내에서 (클라이언트) TCP 포트 12345에서 시작될 수도 있고 바람직하지 않을 수도 있습니다.