В целях безопасности рекомендуется настроить на узлах устройства VMware фильтрацию обратного тракта IPv4.

Фильтрация обратного тракта обеспечивает защиту от ложных адресов источников за счет того, что система игнорирует пакеты с адресами источника, которые не имеют маршрута или маршрут которых не указывает на исходный интерфейс. Настройте узлы так, чтобы фильтрация обратного тракта на них использовалась всегда, когда это возможно. В некоторых случаях, в зависимости от роли системы, фильтрация обратного тракта может привести к игнорированию допустимого трафика. Если обнаружится подобная проблема, попробуйте установить менее жесткий режим или отключите фильтрацию обратного тракта.

Процедура

  1. Выполните команду # grep [01] /proc/sys/net/ipv4/conf/*/rp_filter|egrep "default|all" на узлах виртуального устройства VMware, чтобы проверить используется ли на них фильтрация обратного тракта IPv4.

    Если на виртуальных машинах используется фильтрация обратного тракта IPv4, результат команды будет следующим:

    /proc/sys/net/ipv4/conf/all/rp_filter:1
    /proc/sys/net/ipv4/conf/default/re_filter:1

    Если виртуальные машины настроены правильно, никаких других действий не требуется.

  2. Если необходимо настроить фильтрацию обратного тракта IPv4 на узлах, откройте в текстовом редакторе файл /etc/sysctl.conf.
  3. Проверьте значения строк, которые начинаются с net.ipv4.conf

    Если указанных далее записей нет или для них не установлено значение 1, добавьте эти записи в файл или измените их значения соответствующим образом.

    net.ipv4.conf.all.rp_filter=1
    net.ipv4.conf.default.rp_filter=1
  4. Сохраните изменения и закройте файл.