¿Cuáles son las implicaciones de seguridad de net.ipv4.conf.eth0.route_localnet = 1 / route_localnet?

4
sudo sysctl -w net.ipv4.conf.eth0.route_localnet=1

¿Cuáles son las implicaciones de seguridad de route_localnet ?

    
pregunta adrelanos 23.09.2016 - 01:35
fuente

2 respuestas

1

La documentación para estas opciones muestra lo siguiente:

route_localnet - BOOLEAN
    Do not consider loopback addresses as martian source or destination
    while routing. This enables the use of 127/8 for local routing purposes.
    default FALSE

En esencia, le dice al kernel que no trate el enrutamiento local como un peligro y lo rechace. Siempre que net.ipv4.ip_forward sea 0 no debería necesitar cambiar route_localnet . En la mayoría de los casos, solo necesita esto cuando hace PREROUTING y / o FORWARD con iptables .

El riesgo de seguridad es limitado si no se encuentra en una interfaz de red pública y, de lo contrario, debe asegurarse de que el ingreso y el filtrado de egreso se realicen correctamente. Esto para reducir los efectos del tráfico falsificado.

    
respondido por el hspaans 23.09.2016 - 02:26
fuente
1

Creo que la principal implicación es que las reglas de firewall (distribución o personalización) que permiten la comunicación para 127/8 podrían no ser más efectivas si no pueden especificar la interfaz de ingreso. Si las reglas están específicamente diseñadas para ello, no vería un gran problema.

Es más un problema de compatibilidad y conformidad si realmente se utiliza en el cable (en lugar de redes de conmutación virtual).

    
respondido por el eckes 27.04.2017 - 21:25
fuente

Lea otras preguntas en las etiquetas