Linux内核参数之rp_filter

一、rp_filter参数介绍

rp_filter参数用于控制系统是否开启对数据包源地址的校验。
首先看一下Linux内核文档中的描述:
 
rp_filter - INTEGER
0 - No source validation.
1 - Strict mode as defined in RFC3704 Strict Reverse Path
    Each incoming packet is tested against the FIB and if the interface
    is not the best reverse path the packet check will fail.
    By default failed packets are discarded.
2 - Loose mode as defined in RFC3704 Loose Reverse Path
    Each incoming packet's source address is also tested against the FIB
    and if the source address is not reachable via any interface
    the packet check will fail.

  Current recommended practice in RFC3704 is to enable strict mode
to prevent IP spoofing from DDos attacks。 If using asymmetric routing
or other complicated routing, then loose mode is recommended。
  The max value from conf/{all,interface}/rp_filter is used
when doing source validation on the {interface}.
  Default value is 0. Note that some distributions enable itin startup scripts.
 
即rp_filter参数有三个值,0、1、2,具体含义:
0:不开启源地址校验。
1:开启严格的反向路径校验。对每个进来的数据包,校验其反向路径是否是最佳路径。如果反向路径不是最佳路径,则直接丢弃该数据包。
2:开启松散的反向路径校验。对每个进来的数据包,校验其源地址是否可达,即反向路径是否能通(通过任意网口),如果反向路径不同,则直接丢弃该数据包。

二、rp_filter参数示例

假设机器有2个网口:
eth0: 192。168。1。100
eth1:200.153.1.122
数据包源IP:10.75.153.98,目的IP:200.153.1.122
系统路由表配置为:
[[email protected] ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default      192.168.1.234      0.0.0.0       UG    0      0        0 eth0  
192.168.120.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.75.153.98    0.0.0.0         255.255.255.0   U     0      0        0 eth0
系统rp_filter参数的配置为:
[[email protected] ~]# sysctl -a | grep rp_filter
net.ipv4.conf.all.rp_filter=1
net。ipv4。conf。default。rp_filter=1
  如上所示,数据包发到了eth1网卡,如果这时候开启了rp_filter参数,并配置为1,则系统会严格校验数据包的反向路径。从路由表中可以看出,返回响应时数据包要从eth0网卡出,即请求数据包进的网卡和响应数据包出的网卡不是同一个网卡,这时候系统会判断该反向路径不是最佳路径,而直接丢弃该请求数据包。(业务进程也收不到该请求数据包)
解决办法:
1。修改路由表,使响应数据包从eth1出,即保证请求数据包进的网卡和响应数据包出的网卡为同一个网卡。
2。关闭rp_filter参数。(注意all和default的参数都要改)
1)修改/etc/sysctl.conf文件,然后sysctl -p刷新到内存。
2)使用sysctl -w直接写入内存:sysctl -w net.ipv4.conf.all.rp_filter=0
3)修改/proc文件系统: echo "0">/proc/sys/net/ipv4/conf/all/rp_filter
 

三、开启rp_filter参数的作用

1. 减少DDoS攻击
校验数据包的反向路径,如果反向路径不合适,则直接丢弃数据包,避免过多的无效连接消耗系统资源。
2. 防止IP Spoofing
校验数据包的反向路径,如果客户端伪造的源IP地址对应的反向路径不在路由表中,或者反向路径不是最佳路径,则直接丢弃数据包,不会向伪造IP的客户端回复响应。
 

Ps:两种常见的非法攻击手段:

1. DDos攻击(Distribute Deny of Service)
分布式拒绝服务攻击。通过构造大量的无用数据包向目标服务发起请求,占用目标服务主机大量的资源,还可能造成网络拥塞,进而影响到正常用户的访问。
2. IP Spoofing(IP欺骗)
IP Spoofing指一个客户端通过伪造源IP,冒充另外一个客户端与目标服务进行通信,从而达到某些不可告人的秘密。

出处:https://www.cnblogs.com/lipengxiang2009/p/7446388.html



补充:

https://my。oschina。net/7shell/blog/308887

       公司业务需求,一台服务器,双网卡,需要同时访问外网和内网。在设置过程中,同事反映原本好用的内网地址(192.168.1.100)在设置上外网地址后变的不好用,只要停止外网那个网卡内网就可以正常访问了。

       其实是因为,你先设置了内网之后,又设置外网,在给外网设置了网关之后,由于没有设置默认网关,导致,内网的IP也会走外网的网关,肯定是不可以的。我们要做的仅仅是让内网走自己的网卡

       内网网卡:eth0 192.168.1.100    网关:192.168.1.100

       外网网卡 : eth1  119.222.222.222 网关:119.222.222.1

       首先设置默认网关,让所有IP包默认情况下均通过 119.222.222.1 进行转发:

       route add default gw 119.222.222.1

       然后,单独为内网设置转发特例,所有192.168开头的,全部走eth0

       route add -net 192.168.0.0 netmask 255.255.0.0 dev eth0

       路由添加的最好是要加到开机启动上

       vi /etc/rc.local

       另:删除默认网关的命令如下:

       route  del default


版权声明:本文为博主原创文章,遵循版权协议,转载请附上原文出处链接和本声明。
本文链接:
上海时时乐 广东11选5走势图 三分时时彩 幸运飞艇官网 安徽快3走势 吉林快3 澳洲幸运8 五分时时彩 澳洲幸运10开奖结果 快乐赛车官网