安全性最佳做法是確認您的 VMware 虛擬應用裝置主機使用 IPv4 反向路徑篩選。

執行這項作業的原因和時機

反向路徑篩選可以透過讓系統捨棄來源位址不具有路由或路由不指向原始介面的封包,來抵禦偽造的來源位址。請盡可能將您的主機設定為使用反向路徑篩選。在某些情況下,取決於系統角色,反向路徑篩選可能會導致系統捨棄合法流量。如果您遇到此類問題,可能需要使用更寬鬆的模式或是完全停用反向路徑篩選。

程序

  1. VMware 虛擬應用裝置主機上執行 # grep [01] /proc/sys/net/ipv4/conf/*/rp_filter|egrep "default|all" 命令,確認這些機器使用 IPv4 反向路徑篩選。

    如果虛擬機器使用 IPv4 反向路徑篩選,此命令會傳回下列內容:

    /proc/sys/net/ipv4/conf/all/rp_filter:1
    /proc/sys/net/ipv4/conf/default/re_filter:1

    如果虛擬機器的設定正確,則無需執行進一步的動作。

  2. 如果需要在主機上設定 IPv4 反向路徑篩選,請在文字編輯器中開啟 /etc/sysctl.conf 檔案。
  3. 查看開頭為 net.ipv4.conf 的幾行的值。

    如果下列項目的值不是設為 1 或者項目不存在,請新增這些項目至檔案或相應地更新現有項目。

    net.ipv4.conf.all.rp_filter=1
    net.ipv4.conf.default.rp_filter=1
  4. 儲存變更並關閉檔案。