En matière de sécurité, la meilleure pratique consiste à configurer vos machines hôtes pour l'utilisation du filtrage du chemin inverse IPv4. Le filtrage du chemin inverse protège contre les adresses source falsifiées en amenant le système à ignorer les paquets ayant des adresses source sans itinéraire ou dont l'itinéraire ne désigne pas l'interface d'origine.
Configurez votre système de manière à utiliser le filtrage du chemin inverse, si possible Selon le rôle du système, le filtrage du chemin inverse peut amener le système à ignorer un trafic légitime. Dans de tels cas, vous devrez peut-être utiliser un mode moins sécurisé ou bien désactiver complètement le filtrage du chemin inverse.
Procédure
- Exécutez la commande # grep [01] /proc/sys/net/ipv4/conf/*/rp_filter|egrep "default|all" sur le système hôte afin de vérifier si ce dernier utilise le filtrage du chemin inverse IPv4.
- Configurez le système hôte de manière à utiliser le filtrage du chemin inverse d'IPv4.
- Ouvrez le fichier /etc/sysctl.conf pour configurer le système hôte.
- Si les valeurs ne sont pas définies sur
1
, ajoutez les entrées suivantes au fichier ou mettez à jour les entrées existantes en conséquence. Définissez la valeur sur1
.net.ipv4.conf.all.rp_filter=1 net.ipv4.conf.default.rp_filter=1
- Enregistrez les modifications et fermez le fichier.
- Exécutez
# sysctl -p
pour appliquer la configuration.