セキュリティのベスト プラクティスとして、IPv4 リバース パス フィルタリングが VMware 仮想アプライアンス ホスト マシンで使用されていることを確認します。

このタスクについて

リバース パス フィルタリングは、ソース アドレスにルートがないパケットや、ソース アドレスのルートが発信元のインターフェイスをポイントしていないパケットがシステムで破棄されるようにすることで、偽装されたソース アドレスに対する保護を行います。可能な限りリバース パス フィルタリングを使用するようにホスト マシンを構成します。システムの役割によっては、リバース パス フィルタリングが、システムで正規のトラフィックが破棄される原因となる場合があります。このような問題が発生する場合、より寛容なモードを使用するか、リバース パス フィルタリングを完全に無効にすることが必要になる可能性があります。

手順

  1. IPv4 リバース パス フィルタリングを使用していることを確認するために、VMware 仮想アプライアンス ホスト マシンで # grep [01] /proc/sys/net/ipv4/conf/*/rp_filter|egrep "default|all" コマンドを実行します。

    仮想マシンで IPv4 リバース パス フィルタリングを使用している場合、このコマンドは次を返します。

    /proc/sys/net/ipv4/conf/all/rp_filter:1
    /proc/sys/net/ipv4/conf/default/re_filter:1

    仮想マシンが正しく構成されている場合は、これ以上の操作は必要ありません。

  2. IPv4 リバース パス フィルタリングをホスト マシンに構成する必要がある場合は、テキスト エディタで /etc/sysctl.conf ファイルを開きます。
  3. net.ipv4.conf で始まる行の値を確認します。

    次のエントリの値が 1 に設定されていない場合、またはこれらのエントリがない場合は、ファイルに追加するか既存のエントリを更新します。

    net.ipv4.conf.all.rp_filter=1
    net.ipv4.conf.default.rp_filter=1
  4. 変更内容を保存し、ファイルを閉じます。