18.12.11. 高级过滤器配置主题
以下部分讨论高级过滤配置主题。
18.12.11.1. 连接跟踪
网络过滤子系统(Linux 上)利用连接跟踪支持 IP 表。这有助于强制网络流量的双向(匹配)以及计算和限制客户机同时连接的数量。例如,如果客户机虚拟机具有 TCP 端口 8080 作为服务器打开,客户端可以在端口 8080 上连接到 guest 虚拟机。然后,连接跟踪和执行可能会阻止客户机虚拟机启动从(TCP 客户端)端口 8080 到主机物理机器的连接。更为重要的是,跟踪有助于防止远程攻击者建立到客户机虚拟机的连接。例如,如果客户机虚拟机中的用户已建立到攻击者站点上的端口 80 的连接,则攻击者将无法从 TCP 端口 80 发起到客户机虚拟机的连接。默认情况下,连接状态匹配,可启用连接跟踪,然后打开流量的双向连接。
例 18.9. 关闭到 TCP 端口连接的 XML 示例
以下显示了一个 XML 片段示例,为到 TCP 端口 12345 的传入连接关闭这个功能。
[...]
<rule direction='in' action='accept' statematch='false'>
<cp dstportstart='12345'/>
</rule>
[...]
这现在允许传入流量到 TCP 端口 12345,但也可启用从虚拟机中的启动(客户端)TCP 端口 12345,它们可能或可能并不需要。
