sudo sysctl -w net.ipv4.conf.eth0.route_localnet=1
Quali sono le implicazioni sulla sicurezza di route_localnet ?
La documentazione per questa opzione mostra quanto segue:
route_localnet - BOOLEAN
Do not consider loopback addresses as martian source or destination
while routing. This enables the use of 127/8 for local routing purposes.
default FALSE
In sostanza dice al kernel di non considerare il routing locale come un pericolo e di rifiutarlo. Finché net.ipv4.ip_forward è 0 non dovrebbe essere necessario modificare route_localnet . Nella maggior parte dei casi ti serve solo quando fai PREROUTING e / o FORWARD con iptables .
Il rischio per la sicurezza è limitato se non si trova su un'interfaccia di rete pubblica e in caso contrario si desidera assicurarsi che il filtraggio in entrata e in uscita sia eseguito correttamente. Questo per ridurre gli effetti del traffico falsificato.
Penso che l'implicazione principale sia che le regole del firewall (distribuzione o custom) che consentono la comunicazione per 127/8 potrebbero non essere più efficaci Iff non riescono a specificare l'interfaccia di ingresso. Se le regole sono progettate specificamente per questo non vedrei un grosso problema.
È più un problema di compatibilità e conformità se viene effettivamente utilizzato sul cavo (invece delle reti di switch virtuali).