sudo sysctl -w net.ipv4.conf.eth0.route_localnet=1
¿Cuáles son las implicaciones de seguridad de route_localnet
?
La documentación para estas opciones muestra lo siguiente:
route_localnet - BOOLEAN
Do not consider loopback addresses as martian source or destination
while routing. This enables the use of 127/8 for local routing purposes.
default FALSE
En esencia, le dice al kernel que no trate el enrutamiento local como un peligro y lo rechace. Siempre que net.ipv4.ip_forward sea 0 no debería necesitar cambiar route_localnet . En la mayoría de los casos, solo necesita esto cuando hace PREROUTING y / o FORWARD con iptables .
El riesgo de seguridad es limitado si no se encuentra en una interfaz de red pública y, de lo contrario, debe asegurarse de que el ingreso y el filtrado de egreso se realicen correctamente. Esto para reducir los efectos del tráfico falsificado.
Creo que la principal implicación es que las reglas de firewall (distribución o personalización) que permiten la comunicación para 127/8 podrían no ser más efectivas si no pueden especificar la interfaz de ingreso. Si las reglas están específicamente diseñadas para ello, no vería un gran problema.
Es más un problema de compatibilidad y conformidad si realmente se utiliza en el cable (en lugar de redes de conmutación virtual).