ssh - KVM Debian - ICMP Redirect Acceptance を無効にすると SSH と ping が不可能になる

Question

現在、このチュートリアルに従って、Debian KVM で VPN LT2P /IPSec をセットアップしています。 デバイス/

このコマンドを発行する:

root@localhost:~# ipsec verify

次の出力を得ました

Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                             [OK]
Linux Openswan U2.6.28/K2.6.32-5-686 (netkey)
Checking for IPsec support in kernel                            [OK]
NETKEY detected, testing for disabled ICMP send_redirects   [FAILED]

  Please disable /proc/sys/net/ipv4/conf/*/send_redirects
  or NETKEY will cause the sending of bogus ICMP redirects!

NETKEY detected, testing for disabled ICMP accept_redirects [FAILED]

  Please disable /proc/sys/net/ipv4/conf/*/accept_redirects
  or NETKEY will accept bogus ICMP redirects!

Checking that pluto is running                                  [OK]
Pluto listening for IKE on udp 500                              [FAILED]
  Cannot execute command "lsof -i UDP:500": No such file or directory
Pluto listening for NAT-T on udp 4500                       [FAILED]
  Cannot execute command "lsof -i UDP:4500": No such file or directory
Checking for 'ip' command                                   [OK]
Checking for 'iptables' command                             [OK]
Opportunistic Encryption Support                                [DISABLED]

そこで、 /etc/sysctl.conf のこの設定を次のように編集しました

ICMP リダイレクトの受け入れを無効にする

net.ipv4.conf.all.accept_redirects = 0

次に、/etc/init.d でネットワークを再起動しました

ここで問題が発生します。SSH 経由で KVM に接続することも、IP を ping することもできません。(使えるのはVNCだけ)

ICMP Redirect Acceptance を有効にせずに SSH 経由で再度接続するにはどうすればよいですか?

Answer 1

/etc/init.d/networking restart インターフェースが起動していることを確認した場合(例: ifconfig)。Debian wheezy でそのようなネットワークを再起動すると、次のように表示されます。

/etc/init.d/networking restart の実行は、一部のインターフェースを再度有効にできない可能性があるため非推奨です ... (警告)

そして実際、私はそうする必要があることを発見しましたifup eth0(再起動も機能するはずです)。

あなたの問題は ICMP リダイレクトとは何の関係もないと思います。wheezy を実行している KVM インスタンスで無効にすると、ping と ssh が受け入れられます。上記の問題でない場合は、IPsec 構成に何か問題があり、netfilter が壊れていると思われます。