最佳安全性做法就是設定主機機器,使其使用 IPv4 反向路徑篩選。反向路徑篩選可讓系統捨棄來源位址沒有路由的封包,或是路由未指向原始介面的封包,以保護系統不受詐騙來源位址的侵害。

執行這項作業的原因和時機

設定系統以儘可能使用反向路徑篩選。視系統角色而定,反向路徑篩選可能會造成合法流量遭到捨棄。在此類情況下,您可能需要使用更寬鬆的模式,或是完全停用反向路徑篩選。

程序

  1. 在主機系統上執行 # grep [01] /proc/sys/net/ipv4/conf/*/rp_filter|egrep "default|all" 命令,檢查系統是否使用 IPv4 反向路徑篩選。
  2. 設定主機系統以使用 IPv4 反向路徑篩選。
    1. 開啟 /etc/sysctl.conf 檔案以設定主機系統。
    2. 若值未設定為 1,請新增下列項目至檔案,或相對應地更新現有項目。將值設定為 1
      net.ipv4.conf.all.rp_filter=1 
      net.ipv4.conf.default.rp_filter=1 
      
    3. 儲存變更並關閉檔案。