Linux内核的 反向路由检查机制

最新推荐文章于 2023-04-12 22:54:10 发布
最新推荐文章于 2023-04-12 22:54:10 发布
阅读量1w 收藏 15
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/changqing1234/article/details/81068780
版权

今天遇到一个问题,eth1, eth2 双网卡,都配有IP, 默认网关在eth1 上。

尝试给另一个网卡加上同样的默认网关。

插入之后,发现ens161 无法访问, ens256 可以访问。
删除此条路由,ens161 可以访问,ens256无法访问。

route -n

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.200.208.1    0.0.0.0         UG    0      0        0 ens161
10.200.208.0    0.0.0.0         255.255.240.0   U     102    0        0 ens161
10.200.208.0    0.0.0.0         255.255.240.0   U     103    0        0 ens256
172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 docker0


route add default gw 10.200.208.1 ens256

根本原因:

Linux默认启用了反向路由检查

当Linux IP协议栈收到一个IP包时,会找路由。
本机的包会往上层协议送,而非本机的包会根据路由转发。

为了防止非法的包被转发或送给上层协议,查找路由后Linux还会调用fib_validate_source()以
检查其来源的合法性,基本原理是根据包的源地址查找路由的出接口,然后比较包的原始入接口是
否和查到的出接口一致;如果一致则放过,如果不一致查询skb->dev的rp_filter值,为1时将丢弃这
个包,0时放过。

如果2个网卡在一个Lan里面,那么服务器可能从eth0或者eth1发现网关, 如果一个包从eth0进入了, 而网关在eth1上, 那么从eth1是出不去的, 就不通了.  反向路由检查要求从哪里来的才能回哪去. 

关闭反向路由检查(根据自己的情况替换第二第三行的网卡名), rp_filter中为1,默认开启。改为0 就关闭了这个检查。

echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter 
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter 
echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter 

LeocenaY
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Linux内核反向映射机制的详细资料说明
07-07
Cheetah,曾为U-boot社区和Linux内核社区提交过若干补丁,主要从事Linux相关系统软件开发工作,负责Soc芯片BringUp及系统软件开发,喜欢阅读内核源代码,在不断的学习和工作中深入理解内存管理,进程调度,文件系统,设备驱动等内核子系统。为了系统的安全性,Linux内核将各个用户进程运行在各自独立的虚拟地址空间,用户进程之间通过虚拟地址空间相互隔离,不能相互访问,一个进程的奔溃不会影响到整个系统的异常也不会干扰到系统以及其他进程运行。Linux内核可以通过共享内存的方式为系统节省大量内存,例如fork子进程的时候,父子进程通过只读的方式共享所有的私有页面。再比如通过IPC共享内存方式,各个不相干的进程直接可以共享一块物理内存等等。我们都知道操作系统开启mmu之后cpu访问到的都是虚拟地址,当cpu访问一个虚拟地址的时候需要通过mmu将虚拟地址转化为物理地址,这叫做正向映射。而与本文相关的是反向映射,它主要是通过物理页来找到共享这个页的所有的vma对应的页表项,这是本文讨论的问题。
linux内核路由模块fib_valid_source函数(反向路由检测)
Network/Storage/Linux Kernel
09-20 3056
表示对linu内核路由的的效率表示堪忧。 一个经过linux的报文,无论是上送本机,还是转发,都会进行大于等于2次的查路由动作。 即执行大于等于2次的fib_lookup。 外部包过来,ip_rcv->ip_rcv_finish->ip_route_input->ip_route_input_slow ip_route_input_slow判断报文是否转发,还是上送本机即ip_forward
linux反向路由检查,反向过滤是个什么鬼?
weixin_34380892的博客
05-14 1785
1.背景介绍场景跟前面提到的fullnat是一样的。如下组网,ADS集群内存在计算节点1(10.0.103.96)写sysdb保存数据的情景;而sysdb的服务器可能在计算节点2(10.0.103.97)、计算节点3(10.0.103.98)上,通过SLB对外提供接入服务,如10.0.104.107:10000。因此,计算节点1写sysdb时,需要从10.0.103.96发报文到10.0.104....
linux内核路由反向检查,Linux内核反向路由检查机制
weixin_35891787的博客
04-30 649
Linux内核反向路由检查机制(2014-11-26 18:01:04)标签:财经Linux内核反向路由检查机制。当Linux IP协议栈收到一个IP包时,会找路由。本机的包会往上层协议送,而非本机的包会根据路由转发。为了防止非法的包被转发或送给上层协议,查找路由Linux还会调用fib_validate_source()以检查其来源的合法性,基本原理是根据包的源地址查找路由的出接口,然后...
linux内核路由反向检查,Linux非对称路由
weixin_39762075的博客
04-30 302
首先解释一下什么是对称路由和不对称路由。对称路由:symmetric route,指从A到B所走的路由和从B到A所走的路由是相同的不对称路由:asymmetric route,指从A到B所走的路由和从B到A所走的路由是不同的测试过程如下说明:1 以下这三种情况中,iptables和selinux都已关闭2 所有测试均基于RHEL6.8********************************...
linux内核反向路由检查机制
jyshappy的博客
05-30 1461
今天遇到一个问题,eth1, eth2 双网卡,都配有IP, 默认网关在eth1 上。 尝试给另一个网卡加上同样的默认网关。 插入之后,发现ens161 无法访问, ens256 可以访问。 删除此条路由,ens161 可以访问,ens256无法访问。 route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10
Linux故障之内核反向路由检测
weixin_47683180的博客
01-05 1588
linux解决双网卡只有一张网卡能访问另外一张不能访问的情况。
zynq 双网卡同网段IP实现
sunst95的博客
10-10 1562
问题描述: 双网卡同网段IP,仅能使用一个 配置Linux下的两个网卡为同网段IP地址,仅能使用eth0 ping通外网,若要使用eth1,需要关闭eth0,之后再使用eth0,就需要关闭eth1。外网对两个网卡都可以ping通 ...
Linux内核反向路由检查机制rp_filter
u014644574的博客
04-12 1329
Linux内核反向路由检查机制rp_filter
linux2.6.1内核源码注释
03-10
包含LINUX内核同步、信号、内存、调度、文件系统、网络系统、时钟等部分的源码注释。前后历时三年,算是干货。
Linux内核的同步机制
11-10
 在主流的Linux内核中包含了几乎所有现代的操作系统具有的同步机制,这些同步机制包括:原子操作、信号量(semaphore)、读写信号量(rw_semaphore)、spinlock、BKL(Big Kernel Lock)、rwlock、brlock(只包含在...
深入linux设备驱动程序内核机制
04-26
深入linux设备驱动程序内核机制 pdf深入linux设备驱动程序内核机制深入linux设备驱动程序内核机制深入linux设备驱动程序内核机制深入linux设备驱动程序内核机制深入linux设备驱动程序内核机制深入linux设备驱动程序...
《深入分析Linux内核源代码》
06-13
《深入分析Linux内核源代码》 第一章 走进Linux 第二章 Linux运行的硬件基础 第三章 中断机制 第四章 进程描述 第五章 进程调度与切换 第六章 Linux 内存管理 第七章 进程间通信 第八章 虚拟文件系统 第九章 Ext2 ...
Java-GUI介绍和使用
最新发布
04-18
GUI API包含的类分为三个部分:组件类(component class) 容器类(container class),和辅助类(helper class) 1. 组件类是用来创建用户图形界面的,例如JButton,JLabel,JTextField. 2. 容器类是用来包含其他组件的,例如JFrame,JPanel 3. 辅助类是用来支持GUI组件的,例如Color,Font
汉诺塔c语言递归.zip
04-18
汉诺塔c语言递归
mybatis-plus-core-3.0.6.jar
04-18
mybatis-plus-core.jar 各个版本,免费下载, mybatis-plus-core.jar 是 MyBatis 的增强工具核心包。免费下载 。 MyBatis-Plus(简称 MP),是一个 MyBatis 的增强工具包,只做增强不做改变,为简化开发工作、提高生产率而生。
mybatis-plus-generator-3.4.0.jar
04-18
mybatis-plus-generato.jar 包,各个版本,免费下载。 mybatis-plus 代码生成器生成代码框架。各个版本,免费下载。 下载不了,关注我,评论区联系我。
2023年纺织行业分析.pptx
04-18
行业研究
linux内核中断机制
05-27
Linux内核中断机制是指处理器在执行用户进程时,突然接收到硬件设备或其他外部事件的信号,需要暂停当前进程的执行,转而去处理这个中断事件。Linux内核中断处理分为两个部分:硬件中断处理和软中断处理。 硬件中断处理是由处理器硬件执行的,当硬件设备发生中断时,它会向处理器发送中断信号,处理器接收到信号后会终止当前执行的程序,并跳转到内核中断处理程序中去执行。 软中断处理是一种CPU内部的中断机制,由内核软件触发,用于处理一些轻量级的任务,如网络数据包接收、定时器等。它的执行是在内核上下文中完成的,可以在任何时候执行,不会影响用户进程的执行。 在Linux内核中,中断处理程序通常是由设备驱动程序实现的。当设备驱动程序初始化时,会注册相应的中断处理程序,并在中断发生时执行对应的处理函数。在中断处理程序中,需要完成设备状态的检测、数据的读取和处理等工作,并将处理结果返回给用户程序或其他设备驱动程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值