作为安全最佳做法,请将您的主机配置为使用 IPv4 反向路径过滤。反向路径过滤可防止仿冒源地址,如果数据包的源地址没有路由,或者路由没有指向原始接口,它会导致系统丢弃这些数据包。

将系统配置为尽可能使用反向路径过滤。根据系统角色,反向路径过滤可能会导致合法通信被丢弃。在此情况下,可能需要使用更宽容的模式或完全停用反向路径过滤。

过程

  1. 在主机系统上运行 # grep [01] /proc/sys/net/ipv4/conf/*/rp_filter|egrep "default|all" 命令以检查系统是否使用 IPv4 反向路径过滤。
  2. 将主机系统配置为使用 IPv4 反向路径过滤。
    1. 打开 /etc/sysctl.conf 文件以配置主机系统。
    2. 如果值未设置为 1,请将以下条目添加到文件或相应地更新现有条目。将值设置为 1
      net.ipv4.conf.all.rp_filter=1 
      net.ipv4.conf.default.rp_filter=1 
      
    3. 保存更改并关闭文件。
    4. 运行 # sysctl -p 以应用配置。