Linux反向过滤导致网卡无法从外网ping通

最新推荐文章于 2022-05-30 11:15:38 发布
最新推荐文章于 2022-05-30 11:15:38 发布
阅读量1.7k 收藏 2
点赞数 2
分类专栏: network linux 文章标签: linux 网卡 反向过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xie_heng/article/details/52045407
版权

Linux反向过滤导致网卡无法从外网ping通

现象

Cloud2有两块网卡,分别是172.31.196.2和172.31.192.202
某次重启后,办公机(172.25.167.34)可以与172.31.196.2通,但是与172.31.192.202不通。
检查路由表没有问题。cloud2与192网段的机器是通的,即同一网段是相通的。

[root@cloud2 ~]# ip route
default via 172.31.196.254 dev br-ex 
169.254.0.0/16 dev ens9f0  scope link  metric 1006 
169.254.0.0/16 dev ens4f0  scope link  metric 1008 
169.254.0.0/16 dev br-int  scope link  metric 1011 
169.254.0.0/16 dev br-ex  scope link  metric 1013 
172.31.192.0/24 dev ens4f0  scope link  src 172.31.192.202 
172.31.196.0/24 dev br-ex  proto kernel  scope link  src 172.31.196.2

分析

首先检查cloud2是否收到了办公机的ping请求:

[root@cloud2 ~]# tcpdump -i ens4f0 |grep ICMP
15:01:14.105506 IP 172.25.167.34 > cloud2: ICMP echo request, id 1, seq 24348, length 40
15:01:19.106165 IP 172.25.167.34 > cloud2: ICMP echo request, id 1, seq 24349, length 40

Cloud2 收到请求,但是不reply。

反向路径过滤简介:
Linux的rp_filter用于实现反向过滤技术,也即uRPF,它验证反向数据包的流向,以避免伪装IP攻击。如一个自称是外网的请求,它的IP却是属于内网,这时就很可能是网络欺诈。它和Linux的策略路由很容易发生冲突,其本质原因在于,uRPF技术强制规定了一个反向包的“方向”,而实际的路由是没有方向的。

解决

临时法:

# echo 2 > /proc/sys/net/ipv4/conf/default/rp_filter
# echo 2 > /proc/sys/net/ipv4/conf/all/rp_filter

永久法:

修改/etc/sysctl.conf

net.ipv4.conf.default.rp_filter = 2
net.ipv4.conf.all.rp_filter = 2

RHEL6和RHEL7的rp_filter介绍

rp_filter - INTEGER
0 - No source validation.
1 - Strict mode as defined in RFC3704 Strict Reverse Path
Each incoming packet is tested against the FIB and if the interface
is not the best reverse path the packet check will fail.
By default failed packets are discarded.
2 - Loose mode as defined in RFC3704 Loose Reverse Path
Each incoming packet’s source address is also tested against the FIB
and if the source address is not reachable via any interface
the packet check will fail.
Current recommended practice in RFC3704 is to enable strict mode
to prevent IP spoofing from DDos attacks. If using asymmetric routing
or other complicated routing, then loose mode is recommended.
The max value from conf/{all,interface}/rp_filter is used
when doing source validation on the {interface}.
Default value is 0. Note that some distributions enable it
in startup scripts.

XH1216
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux反向路由检查,反向过滤是个什么鬼?
weixin_36242131的博客
05-14 406
1.背景介绍场景跟前面提到的fullnat是一样的。如下组网,ADS集群内存在计算节点1(10.0.103.96)写sysdb保存数据的情景;而sysdb的服务器可能在计算节点2(10.0.103.97)、计算节点3(10.0.103.98)上,过SLB对外提供接入服务,如10.0.104.107:10000。因此,计算节点1写sysdb时,需要从10.0.103.96发报文到10.0.104....
CentOS多网卡下 应用层无法收到组播的问题解决
qq52122223的博客
08-06 3438
CentOS6.5 系统配置文件 /etc/sysctl.conf 把 net.ipv4.conf.all.rp_filter和net.ipv4.conf.default.rp_filter设为0即可 net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.rp_filter = 0 系统启动后,会自动...
sysctl.conf内核参数优化_参数详解
weixin_40908896的博客
07-15 1629
sysctl.conf工作原理 sysctl命令被用于在内核运行时动态地修改内核的运行参数,可用的内核参数在目录/proc/sys中。它包含一些TCP/IP堆栈和虚拟内存系统的高级选项, 这可以让有经验的管理员提高引人注目的系统性能。用sysctl可以读取设置超过五百个系统变量。 limits.conf设置 1)暂时生效,适用于过 ulimit 命令登录 shell 会话期间 ulimit -S...
系统优化-----sysctl.conf文件内核设置参数详解
JackLiu16的博客
05-02 1万+
sysctl.conf工作原理sysctl命令被用于在内核运行时动态地修改内核的运行参数,可用的内核参数在目录/proc/sys中。它包含一些TCP/IP堆栈和虚拟内存系统的高级选项, 这可以让有经验的管理员提高引人注目的系统性能。用sysctl可以读取设置超过五百个系统变量。limits.conf设置1)暂时生效,适用于过 ulimit 命令登录 shell 会话期间 ulimit -SHn ...
反向路径过滤——reverse path filter
layrong的专栏
05-12 6208
反向路径过滤——reverse path filter 一、原理 先介绍个非对称路由的概念 参考《Understanding Linux Network Internals》三十章, 30.2. Essential Elements of Routing Symmetric routes and asymmetric routes Usually, the route take
linux内核路由反向检查,反向路径过滤
weixin_36298146的博客
04-30 530
第13章 内核网络参数13.1. 反向路径过滤缺省情况下,路由器路由一切包,即使某些数据包“明显地”不属于你的网络。一个简单的例子就是私有IP空间溢出到了Internet上。如果你有一个网卡 带有去往195.96.96.0/24的路由,你不会期望从这里收到来自212.64.94.1的数据包。很多人都希望关掉这个功能,所以内核作者们按照这种要求做了。你可以利用/proc下的一些文件来配置内核是否使用...
使用反向ssh从外网访问内网主机的方法详解
09-15
标题中提到的“使用反向SSH从外网访问内网主机的方法详解”是一种解决内网主机对外不可见问题的技术手段,适用于没有权限设置端口映射或不具备内网主机外网IP的情况。这种方法主要过建立反向SSH隧道,使得外网主机...
Linux使用 iftop 实时监控网卡的流量
09-14
`iftop` 是一个强大的命令行工具,用于实时监控Linux系统的网络流量。它提供了一种交互式的界面,显示当前活动的网络连接,并且能够详细分析入站和出站的带宽使用情况。以下是对 `iftop` 工具及其使用的详细说明: ...
nginx反向代理导致session失效的问题解决
09-29
总结来说,Nginx反向代理导致Session失效的问题主要是由于路径不匹配导致的Cookie无法正确保存和发送。过使用`proxy_cookie_path`指令,我们可以调整后端服务器设置的Cookie路径,确保其与Nginx代理的location相...
基于Linux反向代理技术在校园网的研究与实现.pdf
09-06
基于Linux反向代理技术在校园网的研究与实现.pdf
ping回显请求超时time out故障解决过程
热门推荐
wj31932的博客
12-10 2万+
本文介绍一次防火墙拦截ping的request消息进入导致ping出现请求超时的问题处理过程,列举出现请求超时的各种情况和处理方法。
centos7安全指南
seaship的博客
01-10 7083
侧重于红帽企业 Linux,但细节的概念和技术适用于所有Linux系统,该指南详细介绍了一些规划和工具,这些规划和工具可以为数据中心、工作场所以及家庭创建一个安全的计算环境。 使用正确的管理知识、警告和工具,运行 Linux 的系统可在充分发挥功能以及保障自身安全的情况下对抗最常见入侵行为和攻击方法。 安全话题概述 1.1. 什么是计算机安全? 1.1.1. 标准化的安全性 1.2. 安全控制 ...
2021129:linux篇-grep反向过滤排除
微风❤水墨
11-29 8113
参考来源:在linux系统如何grep过滤中,不包含某些字符串的命令 [root@www ~]# grep [-acinv] [--color=auto] '搜寻字符串' filename 选项与参数: -a :将 binary 文件以 text 文件的方式搜寻数据 -c :计算找到 '搜寻字符串' 的次数 -i :忽略大小写的不同,所以大小写视为相同 -n :顺便输出行号 -v :反向选择,亦即显示出没有 '搜寻字符串' 内容的那一行! --color=auto :可以将找到的关键词部分加上颜色的显示
tun虚拟网卡和fib_validate_source的反向过滤
layrong的专栏
05-12 2437
想在用户空间构造一个IP数据包,然后过写到tun虚拟网卡过内核协议栈转发出去。发现数据包能过pre_routing Hook节点,就是过不了forward Hook。进一步追踪,发现到了fib_validate_source函数就drop掉了。 经过向大牛请教及自己分析,才知道是反向路由过滤的原因。 反向过滤参考 http://blog.csdn.net/layrong/article
linux内核的反向路由检查机制
jyshappy的博客
05-30 1534
今天遇到一个问题,eth1, eth2 双网卡,都配有IP, 默认网关在eth1 上。 尝试给另一个网卡加上同样的默认网关。 插入之后,发现ens161 无法访问, ens256 可以访问。 删除此条路由,ens161 可以访问,ens256无法访问。 route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10
openswan框架和编译时说明
遇见你是我最美丽的意外
01-21 5846
刚开始学习openswan项目代码时,自己尝试了在虚拟机上编译、安装、运行openswan代码,由于当时刚开始学习openswan代码,因此对于其构成并不清楚,在编译、运行过程中有了问题,基本是过百度来解决的。当时遇到的问题虽然不多,最终花了两天时间成功在两台虚拟机之间可以成功协商ipsec隧道,但是对于编译过程中的部分问题也一直不清楚。(关于在虚拟机中编译安装openswan,搭建ipsec环境,我当时写了一篇博客用来记录当时的问题和解决办法openswan源码ubantu下编译、安装、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值