Глава 7. Псевдофайловая система /proc
ipv4.conf.all.rp_filter = 2
net.ipv4.conf.default.rp_f liter = 2
# Простая проверка
#ipv4.conf.all.rp_filter = 1
#net.ipv4.conf.default.rp_f liter = 2
Шаг 2
Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:
[root@karlnext /]# /etc/init.d/network restart
Деактивируется интерфейс eth0: [ОК]
Деактивируется интерфейс-петля: [ОК]
Устанавливаются параметры сети: [ОК]
Активируется интерфейс loopback: [ОК]
Активируется интерфейс eth0: [ОК]
Тот же самый эффект может быть достигнут и без перезагрузки сети:
[root@karlnext /]# sysctl –w ipv4.conf.all.rp_filter = 2
[root@karlnext /]# sysctl –w net.ipv4.conf.default.rp_f liter = 2
Включение регистрации Spoofed, Source Routed и Redirect пакетов
Для получения информации о Spoofed, Source Routed и Redirect пакетах, которая может
быть использована для анализа выявления попыток и механизмов взлома системы, необходимо установить
следующие параметры.
Шаг 1
Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:
# Включение регистрации Spoofed, Source Routed и Redirect пакетов
net.ipv4.conf.all.log_martians = 1
net.ipv4.сonf.default.log_martians = 1
Шаг 2
Для того чтобы внесенные изменения вступили в силу, перезагрузите сеть:
[root@karlnext /]# /etc/init.d/network restart
Деактивируется интерфейс eth0: [ОК]
Деактивируется интерфейс-петля: [ОК]
Устанавливаются параметры сети: [ОК]
Активируется интерфейс loopback: [ОК]
Активируется интерфейс eth0: [ОК]
Тот же самый эффект может быть достигнут и без ее перезагрузки:
[root@karlnext /]# sysctl –w net.ipv4.conf.all.log_martians = 1
[root@karlnext /]# sysctl –w net.ipv4.conf.all.log_martians = 1
Включение пересылки пакетов
Если система используется в качестве шлюза, прокси-сервера, VPN-сервера и т. п., необходимо вклю-
чить пересылку пакетов с одной сети в другую. Это осуществляется следующим образом.
Шаг 1
Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:
# Разрешаем пересылку пакетов
net.IPv4.IP_forward = 1
Шаг 2
Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:
[root@karlnext /]# /etc/init.d/network restart
Деактивируется интерфейс eth0: [ОК]
Деактивируется интерфейс-петля: [ОК]
Устанавливаются параметры сети: [ОК]
Активируется интерфейс loopback: [ОК]
Активируется интерфейс eth0: [ОК]
Тот же самый эффект может быть достигнут и без перезагрузки сети:
[root@karlnext /]# sysctl –w IP_forward =1
ЗАМЕЧАНИЕ К включению этой опции нужно относиться с определенной степенью осторожности и ис-
пользовать ее только в случае крайней необходимости, т. е. только если предполагается использование сис-
темы в качестве сервера, обеспечивающего пересылку пакетов. Подключать систему с включенной опцией
IP_forward к сетям общего пользования можно только после настройки и тщательной проверки правильно-
сти настроек системы сетевой защиты и серверов, ограничивающих пересылку пакетов, например SQUID,
Метки: /proc, ICMP-переадресация, IPv4, ping-запросы, SYN-атаки, sysctl, ФС