セキュリティ上のベスト プラクティスとして、IPv4 リバース パス フィルタリングを使用するようにホスト マシンを構成します。リバース パス フィルタリングは、ルートがないソース アドレスを持つパケット、またはルートが送信元のインターフェイスの方を指していないパケットをシステムに破棄させることで、偽装されたソース アドレスから保護します。

可能であれば必ず、リバース パス フィルタリングを使用するようにシステムを構成します。システム ロールによっては、リバース パス フィルタリングによって正当なトラフィックが破棄されることがあります。このような場合、より寛容なモードを使用するか、リバース パス フィルタリングを完全に無効にする必要が生じることがあります。

手順

  1. ホスト システム上で # grep [01] /proc/sys/net/ipv4/conf/*/rp_filter|egrep "default|all" コマンドを実行して、システムで IPv4 リバース パス フィルタリングが使用されているかどうかをチェックします。
  2. IPv4 リバース パス フィルタリングを使用するようにホスト システムを構成します。
    1. /etc/sysctl.conf ファイルを開いて、ホスト システムを構成します。
    2. 値が 1 に設定されていない場合は、次のエントリをファイルに追加するか、それに合わせて既存のエントリを更新します。値を 1 に設定します。 
      net.ipv4.conf.all.rp_filter=1 
net.ipv4.conf.default.rp_filter=1
    3. 変更内容を保存し、ファイルを閉じます。
    4. # sysctl -p を実行して、構成を適用します。