作为安全性最佳做法,请确认 VMware 虚拟设备主机使用 IPv4 反向路径筛选。

关于此任务

反向路径筛选可使系统丢弃源地址无路由或路由不指向原始接口的数据包,从而防止假冒的源地址。将主机配置为尽可能使用反向路径筛选。在某些情况下,反向路径筛选可能会因系统角色而导致系统丢弃合法流量。如果遇到此类问题,您可能需要使用限制性更弱的模式或完全禁用反向路径筛选。

过程

  1. 请在 VMware 虚拟设备主机上运行 # grep [01] /proc/sys/net/ipv4/conf/*/rp_filter|egrep "default|all" 命令,确认这些主机使用 IPv4 反向路径筛选。

    如果虚拟机使用 IPv4 反向路径筛选,此命令将返回以下内容:

    /proc/sys/net/ipv4/conf/all/rp_filter:1
    /proc/sys/net/ipv4/conf/default/re_filter:1

    如果虚拟机配置正确,则不需要进一步操作。

  2. 如果需要在主机上配置 IPv4 反向路径筛选,请在文本编辑器中打开 /etc/sysctl.conf 文件。
  3. 检查以 net.ipv4.conf 开头的行的值。

    如果以下条目的值未设置为 1 或者不存在,请在文件中添加这些条目或相应地更新现有条目。

    net.ipv4.conf.all.rp_filter=1
    net.ipv4.conf.default.rp_filter=1
  4. 保存更改并关闭文件。