Konfigurieren Sie Ihre Host-Computer als Best Practice für die Sicherheit so, dass IPv4 Reverse Path-Filterung verwendet wird. Reverse Path-Filterung schützt vor gefälschten Quellenadressen, indem das System veranlasst wird, Pakete mit Quellenadressen zu verwerfen, die keine Weiterleitung haben oder deren Weiterleitung nicht auf die ursprüngliche Schnittstelle verweist.
Konfigurieren Sie Ihr System so, dass Reverse Path-Filterung wann immer möglich verwendet wird. Je nach Systemrolle kann Reverse Path-Filterung dazu führen, dass legitimer Datenverkehr verworfen wird. In diesen Fällen müssen Sie unter Umständen einen weniger strengen Modus verwenden oder die Reverse Path-Filterung deaktivieren.
Prozedur
- Führen Sie den Befehl # grep [01] /proc/sys/net/ipv4/conf/*/rp_filter|egrep "default|all" auf dem Host-System aus, um zu überprüfen, ob das System IPv4 Reverse Path-Filterung verwendet.
- Konfigurieren Sie das Host-System für die Verwendung von IPv4 Reverse Path-Filterung.
- Öffnen Sie die Datei /etc/sysctl.conf, um das Host-System zu konfigurieren.
- Wenn die Werte nicht auf
1
festgelegt sind, fügen Sie die folgenden Einträge zur Datei hinzu, oder aktualisieren Sie die vorhandenen Einträge entsprechend. Legen Sie den Wert auf1
fest.net.ipv4.conf.all.rp_filter=1 net.ipv4.conf.default.rp_filter=1
- Speichern Sie die Änderungen, und schließen Sie die Datei.
- Führen Sie
# sysctl -p
aus, um die Konfiguration zu übernehmen.