可以通过将以下设置放入 /etc/sysctl.conf 或 /etc/sysctl.d/ 中的文件来禁用路由
net.ipv4.ip_forward=0
也可以通过以 root 身份发出命令来直接禁用它
echo 0 > /proc/sys/net/ipv4/ip_forward
也可以在内核命令行的引导加载程序中执行此操作(请参阅https://unix.stackexchange.com/a/593688/44864) 和
sysctl.net.ipv4.ip_forward=0
我的问题是,获得访问权限的不良行为者可以轻松地再次启用它。我对内核命令行参数可以被覆盖感到失望(在 5.10 上测试)。
我是否正确,可能唯一的方法是构建我自己的内核,而无需编译 ip 路由或作为模块将其列入黑名单?
如果我是对的,需要禁用哪个模块?查看我笔记本电脑的 /boot/config,可能的候选者是 CONFIG_IP_ADVANCED_ROUTER、CONFIG_IP_ROUTE_MULTIPATH、CONFIG_IP_ROUTE_VERBOSE 和 CONFIG_IP_ROUTE_CLASSID。
感谢您的任何帮助和见解。