systemdのソケットユニットにおけるIPアドレス制限の仕組みについての私の理解
systemdのソケットユニットに設定したIPアドレス制限(IPAddressAllow/Deny)は、eBPFプログラムを通じてソケット自体に適用され、ソケットアクティベーションされたサービスが外部と通信する能力を制限しない仕組みになっています。このアプローチでは、ソケットが作成されたcgroupのeBPFプログラムにソケットが関連付けられ、別のcgroupで実行されるサービスに渡されてもその制限が維持されます。