En matière de sécurité, la meilleure pratique consiste à configurer vos machines hôtes pour l'utilisation du filtrage du chemin inverse IPv4. Le filtrage du chemin inverse protège contre les adresses source falsifiées en amenant le système à ignorer les paquets ayant des adresses source sans itinéraire ou dont l'itinéraire ne désigne pas l'interface d'origine.

Configurez votre système de manière à utiliser le filtrage du chemin inverse, si possible Selon le rôle du système, le filtrage du chemin inverse peut amener le système à ignorer un trafic légitime. Dans ce cas, vous devrez peut-être utiliser un mode moins sécurisé ou bien désactiver complètement le filtrage du chemin inverse.

Procédure

  1. Exécutez la commande # grep [01] /proc/sys/net/ipv4/conf/*/rp_filter|egrep "default|all" sur le système hôte afin de vérifier si ce dernier utilise le filtrage du chemin inverse IPv4.
  2. Configurez le système hôte de manière à utiliser le filtrage du chemin inverse d'IPv4.
    1. Ouvrez le fichier /etc/sysctl.conf pour configurer le système hôte.
    2. Si les valeurs ne sont pas définies sur 1, ajoutez les entrées suivantes au fichier ou mettez à jour les entrées existantes en conséquence. Définissez la valeur sur 1.
      net.ipv4.conf.all.rp_filter=1 
      net.ipv4.conf.default.rp_filter=1 
      
    3. Enregistrez les modifications et fermez le fichier.
    4. Exécutez # sysctl -p pour appliquer la configuration.