Pour garantir la sécurité, il est recommandé de vérifier que les machines hôtes de VMware utilisent le filtrage de chemin inverse IPv4.

Pourquoi et quand exécuter cette tâche

Le filtrage de chemin inverse constitue une protection contre l'usurpation des adresses source en provoquant le rejet des paquets dont les adresses source n'ont aucune route ou dont la route ne pointe pas vers l'interface d'origine. Configurez vos machines hôtes pour utiliser le filtrage de chemin inverse autant que possible. Dans certains cas, selon le rôle système, le filtrage de chemin inverse peut entraîner le rejet d'un trafic légitime. Si vous rencontrez de tels problèmes, vous devrez éventuellement utiliser un mode plus permissif ou désactiver complètement le filtrage de chemin inverse.

Procédure

  1. Exécutez la commande # grep [01] /proc/sys/net/ipv4/conf/*/rp_filter|egrep "default|all" sur les machines hôtes du dispositif virtuel VMware pour vérifier qu'elles utilisent le filtrage de chemin inverse IPv4.

    Si les machines virtuelles utilisent le filtrage de chemin inverse IPv4, cette commande renvoie ce qui suit :

    /proc/sys/net/ipv4/conf/all/rp_filter:1
    /proc/sys/net/ipv4/conf/default/re_filter:1

    Si vos machines virtuelles sont correctement configurées, aucune autre action n'est requise.

  2. Si vous devez configurer le filtrage de chemin inverse IPv4 sur des machines hôtes, ouvrez le fichier /etc/sysctl.conf dans un éditeur de texte.
  3. Vérifiez les valeurs des lignes qui commencent par net.ipv4.conf.

    Si les valeurs des entrées suivantes ne sont pas définies sur 1 ou si elles n'existent pas, ajoutez-les au fichier ou mettez à jour les entrées existantes.

    net.ipv4.conf.all.rp_filter=1
    net.ipv4.conf.default.rp_filter=1
  4. Enregistrez les modifications et fermez le fichier.