17.14.11. 高级过滤器配置主题
以下部分讨论高级过滤配置主题。
17.14.11.1. 连接跟踪
网络过滤子系统(在 Linux 中)利用连接跟踪支持 IP 表。这有助于强制网络流量(状态匹配)的方向,以及计算和限制与客户机虚拟机的同时连接数量。例如,如果 guest 虚拟机作为服务器打开了 TCP 端口 8080,客户端可以在端口 8080 上连接到 guest 虚拟机。连接跟踪和执行方向,然后阻止客户机虚拟机发起连接(TCP 客户端)端口 8080 到主机物理机重新到远程主机物理机器。更为重要的是,跟踪可帮助远程攻击者建立回客户机虚拟机的连接。例如,如果客户机虚拟机中的用户建立了与攻击者站点上的端口 80 的连接,则攻击者将无法从 TCP 端口 80 发起连接回客户机虚拟机。默认情况下,连接状态与启用连接跟踪,然后打开流量方向的强制实施。
例 17.9. 关闭到 TCP 端口的 XML 示例
下面显示了一个示例 XML 片段,此特性已被关闭,以便传入到 TCP 端口 12345。
[...] <rule direction='in' action='accept' statematch='false'> <cp dstportstart='12345'/> </rule> [...]
现在,允许传入流量到 TCP 端口 12345,但也会从虚拟机中启用从(客户端)TCP 端口 12345(可能可能也可能不取)的启动。