Stellen Sie als Best Practice im Hinblick auf die Sicherheit sicher, dass die Hostmaschinen der virtuellen VMware-Appliance IPv4 Reverse Path-Filterung verwenden.

Warum und wann dieser Vorgang ausgeführt wird

Reverse Path-Filterung schützt vor manipulierten Quelladressen, indem das System Pakete mit Quelladressen verwirft, die über keine Route oder eine Route verfügen, die nicht auf die ursprüngliche Schnittstelle verweist. Konfigurieren Sie Ihre Hostmaschinen für die Verwendung von Reverse Path-Filterung wann immer möglich. In einigen Fällen, je nach Systemrolle, kann Reverse Path-Filterung bewirken, dass das System legitimen Datenverkehr verwirft. Wenn solche Probleme auftreten, müssen Sie möglicherweise einen weniger strengen Modus verwenden oder Reverse Path-Filterung vollständig deaktivieren.

Prozedur

  1. Führen Sie den # grep [01] /proc/sys/net/ipv4/conf/*/rp_filter|egrep "default|all" -Befehl auf den Hostmaschinen der virtuellen VMware-Appliance aus, um sicherzustellen, dass IPv4 Reverse Path-Filterung verwendet wird.

    Dieser Befehl gibt Folgendes zurück, wenn die virtuellen Maschinen IPv4 Reverse Path-Filterung verwenden:

    /proc/sys/net/ipv4/conf/all/rp_filter:1
    /proc/sys/net/ipv4/conf/default/re_filter:1

    Wenn Ihre virtuellen Maschinen ordnungsgemäß konfiguriert sind, ist keine weitere Aktion erforderlich.

  2. Wenn Sie IPv4 Reverse Path-Filterung auf Hostmaschinen konfigurieren müssen, öffnen Sie die Datei /etc/sysctl.conf in einem Texteditor.
  3. Überprüfen Sie die Werte der Zeilen, die mit net.ipv4.conf beginnen.

    Wenn die Werte für die folgenden Einträge nicht auf 1 gesetzt oder nicht vorhanden sind, fügen Sie sie der Datei hinzu oder aktualisieren Sie die vorhandenen Einträge entsprechend.

    net.ipv4.conf.all.rp_filter=1
    net.ipv4.conf.default.rp_filter=1
  4. Speichern Sie die Änderungen und schließen Sie die Datei.