보안 Best Practice로, IPv4 역방향 경로 필터링을 사용하도록 호스트 시스템을 구성합니다. 역방향 경로 필터링은 소스 주소에 경로가 없거나 경로가 원래 인터페이스를 가리키지 않을 경우 시스템이 해당 패킷을 삭제하도록 하여 스푸핑된 소스 주소로부터 보호합니다.
가능한 경우 항상 역방향 경로 필터링을 사용하도록 시스템을 구성합니다. 시스템 역할에 따라 역방향 경로 필터링으로 인해 적합한 트래픽이 삭제될 수 있습니다. 이러한 경우, 더욱 허용되는 모드를 사용하거나 역방향 경로 필터링을 모두 비활성화해야 할 수 있습니다.
프로시저
- 호스트 시스템에서 # grep [01] /proc/sys/net/ipv4/conf/*/rp_filter|egrep "default|all" 명령을 실행하여 시스템이 IPv4 역방향 경로 필터링을 사용하는지 여부를 확인합니다.
- IPv4 역방향 경로 필터링을 사용하도록 호스트 시스템을 구성합니다.
- /etc/sysctl.conf 파일을 열어 호스트 시스템을 구성합니다.
- 값이
1
로 설정되어 있지 않은 경우 다음 항목을 파일에 추가하거나 기존 항목을 이에 맞게 업데이트합니다. 값을1
로 설정합니다.net.ipv4.conf.all.rp_filter=1 net.ipv4.conf.default.rp_filter=1
- 변경 사항을 저장하고 파일을 닫습니다.
-
# sysctl -p
를 실행하여 구성을 적용합니다.