IPv4 ソースルーティングされたパケットの転送を拒否するようにホストシステムを構成する

ソースルーティングされたパケットを使用すると、パケットのソースが、ルータで構成されている内容とは異なるパスに沿ってルータがパケットを転送するように指示できるようになります。これを使用して、ネットワークのセキュリティ対策がバイパスされることがあります。

IPv4 転送が有効になっていて、システムがルータとして機能している場合など、この要件は、ソースルーティングされたトラフィックの転送にのみ適用されます。

手順

# grep [01] /proc/sys/net/ipv4/conf/*/accept_source_route|egrep "default|all" コマンドを実行して、システムで IPv4 ソースルーティングされたパケットが使用されないかどうかを確認します。
IPv4 ソースルーティングされたパケットの転送を拒否するようにホストシステムを構成します。
1. テキストエディタで /etc/sysctl.conf ファイルを開きます。
2. 値が 0 に設定されていない場合は、net.ipv4.conf.all.accept_source_route=0 と net.ipv4.conf.default.accept_source_route=0 が 0 に設定されていることを確認します。
3. ファイルを保存して閉じます。
4. # sysctl -p を実行して、構成を適用します。