net.ipv4.conf.eth0.route_localnet = 1 / route_localnetのセキュリティ上の意味は何ですか？

主な影響は、127/8の通信を許可するファイアウォールルール（配布またはカスタム）が入力インターフェイスの指定に失敗した場合、有効ではなくなる可能性があることです。ルールが特別に設計されている場合、大きな問題は発生しません。

それが（仮想スイッチネットワークの代わりに）実際にネットワークで使用される場合は、互換性と適合性の問題がより多くなります。

このオプションの documentation は以下を示します。

route_localnet - BOOLEAN
    Do not consider loopback addresses as martian source or destination
    while routing. This enables the use of 127/8 for local routing purposes.
    default FALSE

本質的には、ローカルルーティングを危険として扱い、拒否するようにカーネルに指示します。 net.ipv4.ip_forwardがである限り、 route_localnetを変更する必要があります。ほとんどの場合、これは、一部の[〜＃〜] prerouting [〜＃〜]および/または[〜＃〜] forward [〜＃〜]withiptables。

これがパブリックネットワークインターフェース上にない場合、セキュリティリスクは制限されます。それ以外の場合は、入力と出力のフィルタリングが正しく行われるようにする必要があります。これは、スプーフィングされたトラフィックの影響を減らすためです。