Quelles sont les implications de sécurité de net.ipv4.conf.eth0.route_localnet = 1 / route_localnet?

Je pense que l'implication principale est que les règles de pare-feu (distribution ou personnalisation) qui permettent la communication pendant 127/8 ne pourrait plus être efficace IFF qu'ils ne parviennent pas à spécifier l'interface d'entrée. Si les règles sont spécifiquement conçues pour cela, je ne verrais pas un gros problème.

Il s'agit plus d'un problème de compatibilité et de conformité s'il est réellement utilisé sur le fil (au lieu de réseaux de commutation virtuels).

Le Documentation Pour cette option indique ce qui suit:

route_localnet - BOOLEAN
    Do not consider loopback addresses as martian source or destination
    while routing. This enables the use of 127/8 for local routing purposes.
    default FALSE

En substance, il raconte au noyau de ne pas traiter le routage local pour un danger et le refuser. Tant que net.ipv4.ip_forward IS 0 Vous n'avez pas besoin de changer route_localnet. Dans la plupart des cas, vous n'avez besoin que de cela lorsque vous faites du [~ # ~] préertant [~ # ~] et/ou [~ # ~ # ~ # ~] avec iptables.

Le risque de sécurité est limité si cela n'est pas sur une interface réseau au fil du public et sinon, vous souhaitez vous assurer que le filtrage d'entrée et de sortie est correctement effectué. Ceci afin de réduire les effets du trafic spoofé.