Abbiamo seguito le seguenti regole di iptables
esistenti nelle nostre caselle front-end Web per impedire lo spoofing IP:
-A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP"
-A INPUT -s 255.0.0.0/8 -j DROP
-A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP"
-A INPUT -s 0.0.0.0/8 -j DROP
Vogliamo aggiungere qui sotto le regole per aumentare ulteriormente il IP Spoofing prevention
-A INPUT -s 224.0.0.0/3 -j LOG --log-prefix "Spoofed source IP"
-A INPUT -s 255.0.0.0/8 -j DROP
-A INPUT –s 169.254.0.0/16 -j LOG --log-prefix "Spoofed source IP"
-A INPUT -s 169.254.0.0/16 -j DROP
-A INPUT –s 240.0.0.0/5 -j LOG --log-prefix "Spoofed source IP"
-A INPUT -s 240.0.0.0/5 -j DROP
Suggerisci di aggiungere le regole di sopra in una casella di produzione che esegue Apache httpd come proxy inverso? Questa scatola di produzione è dietro un sistema di bilanciamento del carico F5.
Inoltre, dobbiamo abilitare i seguenti parametri del kernel affinché le regole precedenti funzionino in modo efficace?
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.all.log_martians=1
net.ipv4.conf.default.log_martians=1