作为安全性最佳做法,请确认 VMware设备主机系统拒绝 IPv6 转发。

关于此任务

如果系统已配置为使用 IP 转发且不是指定的路由器,则攻击者可将其用于为网络设备未筛选的通信提供路径,从而绕过网络安全措施。要避免此风险,请将虚拟设备主机配置为拒绝 IPv6 转发。

过程

  1. VMware 设备主机上运行 # grep [01] /proc/sys/net/ipv6/conf/*/forwarding|egrep "default|all" 命令,确认这些主机拒绝 IPv6 转发。

    如果主机已配置为拒绝 IPv6 转发,此命令将返回以下内容:

    /proc/sys/net/ipv6/conf/all/forwarding:0
    /proc/sys/net/ipv6/conf/default/forwarding:0

    如果主机配置正确,则不需要进一步操作。

  2. 如果需要将主机配置为拒绝 IPv6 转发,请在文本编辑器中打开 /etc/sysctl.conf 文件。
  3. 检查以 net.ipv6.conf 开头的行的值。

    如果以下条目的值未设置为零或者条目不存在,请在文件中添加这些条目或相应地更新现有条目。

    				net.ipv6.conf.all.accept_redirects=0
    net.ipv6.conf.default.accept_redirects=0
  4. 保存您所做的任何更改并关闭文件。