作为安全最佳做法,请将您的主机配置为使用 IPv4 反向路径过滤。反向路径过滤可防止仿冒源地址,如果数据包的源地址没有路由,或者路由没有指向原始接口,它会导致系统丢弃这些数据包。
将系统配置为尽可能使用反向路径过滤。根据系统角色,反向路径过滤可能会导致合法通信被丢弃。在此情况下,可能需要使用更宽容的模式或完全停用反向路径过滤。
过程
- 在主机系统上运行 # grep [01] /proc/sys/net/ipv4/conf/*/rp_filter|egrep "default|all" 命令以检查系统是否使用 IPv4 反向路径过滤。
- 将主机系统配置为使用 IPv4 反向路径过滤。
- 打开 /etc/sysctl.conf 文件以配置主机系统。
- 如果值未设置为
1
,请将以下条目添加到文件或相应地更新现有条目。将值设置为1
。net.ipv4.conf.all.rp_filter=1 net.ipv4.conf.default.rp_filter=1
- 保存更改并关闭文件。
- 运行
# sysctl -p
以应用配置。