17.14.9. 필터 규칙
다음 XML은 나가는 IP 패킷의 IP 주소(변수 IP 값을 통해 제공됨)가 예상되지 않아 VM에서 IP 주소 스푸핑을 방지할 때 트래픽을 삭제하는 규칙을 구현하는 간단한 예제를 보여줍니다.
예 17.8. 네트워크 트래픽 필터링의 예
<filter name='no-ip-spoofing' chain='ipv4'> <uuid>fce8ae33-e69e-83bf-262e-30786c1f8072</uuid> <rule action='drop' direction='out' priority='500'> <ip match='no' srcipaddr='$IP'/> </rule> </filter>
트래픽 필터링 규칙은 규칙 노드로 시작됩니다. 이 노드는 다음 특성 중 최대 3개를 포함할 수 있습니다.
- action은 필수적으로 다음 값을 가질 수 있습니다.
- drop (더 이상 분석 없이 규칙이 자동으로 패킷을 삭제)
- 거부(더 이상 분석 없이 ICMP reject 메시지를 생성)
- 수락 (단일 규칙이 추가 분석 없이 패킷을 수락)
- 반환(이 필터를 통과하지만 추가 분석을 위해 호출 필터로 제어를 반환)
- 계속(더 많은 분석을 위해 다음 규칙과 일치)
- 방향은 필수적으로 다음 값을 가질 수 있습니다.
- 들어오는 트래픽의 경우
- 나가는 트래픽의 경우
- 수신 및 발신 트래픽에 대한 아웃
- 우선순위는 선택 사항입니다. 규칙의 우선 순위는 다른 규칙에 대해 규칙을 인스턴스화하는 순서를 제어합니다. 값이 낮은 규칙은 값이 더 높은 규칙보다 먼저 인스턴스화됩니다. 유효한 값은 -1000~1000의 범위에 있습니다. 이 속성을 제공하지 않으면 우선 순위 500이 기본적으로 할당됩니다. 루트 체인의 필터링 규칙은 우선 순위에 따라 루트 체인에 연결된 필터를 사용하여 정렬됩니다. 이를 통해 필터 체인에 대한 액세스 권한이 있는 필터링 규칙을 인터리빙할 수 있습니다. 자세한 내용은 17.14.3절. “체인 우선순위 필터링”를 참조하십시오.
- statematch는 선택 사항입니다. 가능한 값은 '0' 또는 'false'이며 기본 연결 상태 일치를 끄는 것입니다. 기본 설정은 'true' 또는 1입니다.
자세한 내용은 17.14.11절. “고급 필터 구성 주제”의 내용을 참조하십시오.
위의 예 예 17.7. “깨끗한 트래픽 필터의 예” 는 ip 유형의 트래픽이 체인 ipv4 와 연결되고 규칙에 priority=500 이 있음을 나타냅니다. 예를 들어 ip 유형의 트래픽이 체인 ipv4 와 연결된 다른 필터를 참조하는 경우 표시된 규칙의 priority=500 에 대해 해당 필터 규칙이 정렬됩니다.
규칙에는 트래픽 필터링을 위한 단일 규칙이 포함될 수 있습니다. 위의 예에서는 ip 유형의 트래픽을 필터링해야 한다는 것을 보여줍니다.