tun虚拟网卡和fib_validate_source的反向过滤

最新推荐文章于 2023-01-20 11:43:31 发布
最新推荐文章于 2023-01-20 11:43:31 发布
阅读量2.4k 收藏
点赞数
分类专栏: tun fib_validate_source 反向路径过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/layrong/article/details/45672891
版权

想在用户空间构造一个IP数据包,然后通过写到tun虚拟网卡,通过内核协议栈转发出去。发现数据包能通过pre_routing Hook节点,就是过不了forward Hook。进一步追踪,发现到了fib_validate_source函数就drop掉了。

经过向大牛请教及自己分析,才知道是反向路由过滤的原因。

反向过滤参考 http://blog.csdn.net/layrong/article/details/45673037

当开启反向路径过滤时,对于从网卡A交付到协议栈转发的数据包fib_validate_source会检查路由表中对于源IP地址的数据包是否路由到网卡A。因此解决上述问题,需要在路由表中加上对称的路由(以上述数据包源地址为目的地址的数据包路由到Tun网卡),或者关闭rp_filter反向过滤功能!


linux内核路由模块fib_valid_source函数(反向路由检测)
Network/Storage/Linux Kernel
09-20 3234
表示对linu内核查路由的的效率表示堪忧。 一个经过linux的报文,无论是上送本机,还是转发,都会进行大于等于2次的查路由动作。 即执行大于等于2次的fib_lookup。 外部包过来,ip_rcv->ip_rcv_finish->ip_route_input->ip_route_input_slow ip_route_input_slow判断报文是否转发,还是上送本机即ip_forward
Linux反向过滤导致网卡无法从外网ping通
Aragorn_XH的博客
07-27 1843
Linux反向过滤导致网卡无法从外网ping通Linux反向过滤导致网卡无法从外网ping通 现象 分析 解决 临时法 永久法现象Cloud2有两块网卡,分别是172.31.196.2和172.31.192.202 某次重启后,办公机(172.25.167.34)可以与172.31.196.2通,但是与172.31.192.202不通。 检查路由表没有问题。cloud2与192网段的机器是通的,
arp request处理流程分析
weixin_45772887的博客
01-20 790
arp request处理流程分析,使用网络地址访问失败原因分析
多网卡配置同一网段IP情况解析
热门推荐
whenloce的专栏
05-29 1万+
目录 一、概述 二、分析 一、概述 一般情况下是不这么配置的,但是实际项目中总有些奇葩的甲方。在虚拟机中模拟一下这个情形。 二、分析 虚拟机中添加三个网卡,ip地址配置成同一个网段,桥接。主机的IP地址是192.168.0.109 ens33:inet 192.168.0.112 netmask 255.255.255.0 broadcast 192.168.0.255 ...
linux 读书笔记(三)
知识来自积累
07-18 1177
ip_queue_xmit   //发送TCPS或SCTP数据包ip_appent_date ip_appent_page //存储IP分片,直到调用ip_push_pending_framsip_route_input   //查找入口数据包的信息,得到其路由类型(RTN_**),ARP模块中有使用ip_route_output_key  //查找出口路由信息ip_route_input
tun/tap虚拟网卡驱动tun.ko
08-17
tun/tap虚拟网卡驱动
tuntap.rar_tun_tun tap_tuntap_universal
07-13
Universal TUN TAP device driver.
tuntap虚拟网卡
05-19
tuntap官方原版驱动,分32位64位,附带教程,没有任何捆绑
易语言TUN/TAP虚拟网卡使用例子-易语言
06-12
易语言TUN/TAP虚拟网卡使用例子
TCP/IP网络的一些问题(路由/协议/linux的实现)
Netfilter
08-28 6910
<br />1.linux的虚拟网卡-tun<br /> linux的虚拟网卡驱动可以配置为两种模式,一种是点对点的tun模式,一种是以太网tap模式,实质上tun模式中从虚拟网卡出来的是ip数据报,也就是三层数据,而tap模式中从虚拟网卡中出来的以太网帧,也就是二层链路层数据。tun模式封装的ip数据报可以直接传输给对端,这种点对点模式中对端是确定的,不需要寻址的,因此tun模式下的虚拟网卡是没有mac地址,即链路层地址的,因此tun模式的通信可以省去arp地址解析,但是tap模式下就不同了,tap模式
linux反向路由检查,反向过滤是个什么鬼?
weixin_36242131的博客
05-14 445
1.背景介绍场景跟前面提到的fullnat是一样的。如下组网,ADS集群内存在计算节点1(10.0.103.96)写sysdb保存数据的情景;而sysdb的服务器可能在计算节点2(10.0.103.97)、计算节点3(10.0.103.98)上,通过SLB对外提供接入服务,如10.0.104.107:10000。因此,计算节点1写sysdb时,需要从10.0.103.96发报文到10.0.104....
企业级负载均衡集群——lvs的TUN模式(隧道模式)详细说明
ymeng9527的博客
07-23 3106
1.TUN模式的工作原理 TUN模式简称隧道模式,隧道模式就是修改请求报文的首部IP,再加一层IP报头 优点:DS和RS不需要在同一网段,可以实现不同网络之间的访问 数据流向如下 数据包从客户端发往DS服务器,DS服务器会根据调度策略确定要把请求给哪台RS,会在数据包外面再加一层IP报头 此时源IP从CIP(172.25.8.250)变为了VIP(DIP172.25.8.100) 目的IP从VIP...
linux内核的反向路由检查机制
jyshappy的博客
05-30 1567
今天遇到一个问题,eth1, eth2 双网卡,都配有IP, 默认网关在eth1 上。 尝试给另一个网卡加上同样的默认网关。 插入之后,发现ens161 无法访问, ens256 可以访问。 删除此条路由,ens161 可以访问,ens256无法访问。 route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10
《深入理解Linux网络技术内幕》阅读笔记 --- 路由查找
weixin_30408739的博客
07-07 192
概述 1、不论是入口还是出口流量,都是利用fib_lookup来查找路由表,fib_lookup是对每一个路由表所提供的查找函数的包裹函数,当不支持策略路由时,查找函数版本针对的是local表和main表 2、辅助函数: fib_validate_source:对从一个给定设备接收到的封包的源IP地址检查,检测企图的IP欺骗,而且要在开启非对称路由情况下,确保封包的源IP地址通过该封...
Linux故障之内核反向路由检测
weixin_47683180的博客
01-05 1825
linux解决双网卡只有一张网卡能访问另外一张不能访问的情况。
linux网络全景指南
极客重生
01-19 1463
自我介绍:腾讯云网络高级工程师,腾讯云网络核心开发人员。 欢迎微信搜索「职场重生」,关注公众号「职场重生」,后续更多精彩内容发布; 万字长文建议收藏 引言 本期分享一个比较常见的⽹络问题--丢包。例如我们去ping⼀个⽹站,如果能ping通,且⽹站返回信息全⾯,则说明与⽹站服务器的通信是畅通的,如果ping不通,或者⽹站返回的信息不全等,则很可能是数据被丢包了,类似情况想必⼤家都不陌⽣。针对⽹络丢包,本⽂提供⼀些常见的丢包故障定位...
linux内核路由反向检查,Linux路由設置 反向路由設置
weixin_42548708的博客
04-30 296
反向路由設置:route add –net 192.168.200.0 netmask 255.255.255.0 gw 172.31.1.209route del –net 192.168.200.0 netmask 255.255.255.0 gw 172.31.1.209routeroute命令來配置並查看內核路由表的配置情況。例如:(1) 添加到主機的路由。#route add –ho...
网络配置拾遗
相看两不厌,只有敬亭山
10-13 618
网络配置拾遗 一、网桥设置 将设备中的两个网卡桥接 ifconfig eth0 0.0.0.0 up ifconfig eth1 0.0.0.0 up btctl addbr br0 brctl addif br0 eth0 brctl addif br0 eth1 ifconfig br0 192.168.10.1 up 桥接的两个网卡不设置ip,只需给网桥设置ip 二、设备中有两个网卡,当两个网卡设置同网段不同ip时(192.168.10.11、192.168.10.22),只有一个网卡能ping通
c语言实现启动tun虚拟网卡
最新发布
04-02
要启动tun虚拟网卡,需要使用系统调用来创建和配置网络接口。以下是一个简单的C语言程序,可以启动一个名为“tun0”的tun虚拟网卡。 ```c #include <stdio.h> #include <stdlib.h> #include <string.h> #include <fcntl.h> #include <unistd.h> #include <sys/ioctl.h> #include <net/if.h> #include <linux/if_tun.h> int tun_alloc(char *dev) { struct ifreq ifr; int fd, err; if ((fd = open("/dev/net/tun", O_RDWR)) < 0) { perror("open /dev/net/tun"); return -1; } memset(&ifr, 0, sizeof(ifr)); ifr.ifr_flags = IFF_TUN | IFF_NO_PI; if (*dev) { strncpy(ifr.ifr_name, dev, IFNAMSIZ); } if ((err = ioctl(fd, TUNSETIFF, (void *)&ifr)) < 0) { perror("ioctl TUNSETIFF"); close(fd); return err; } strcpy(dev, ifr.ifr_name); return fd; } int main() { int tunfd; char tun_name[IFNAMSIZ]; strcpy(tun_name, "tun0"); tunfd = tun_alloc(tun_name); if (tunfd < 0) { fprintf(stderr, "Error creating tun interface\n"); exit(1); } printf("Interface %s created\n", tun_name); close(tunfd); return 0; } ``` 在这个程序中, `tun_alloc()` 函数用于创建和配置tun虚拟网卡。它首先打开 `/dev/net/tun` 设备文件,然后使用 `ioctl()` 系统调用设置tun虚拟网卡的参数。在这里,我们将网卡的名称设置为“tun0”,并且将 `IFF_NO_PI` 标志设置为了1,以避免在数据包中包含Linux内核的附加信息。 在 `main()` 函数中,我们调用 `tun_alloc()` 来创建一个名为“tun0”的tun虚拟网卡。如果创建失败,我们打印错误消息并退出程序。否则,我们打印一条消息,表明接口已创建,并且关闭文件描述符以释放系统资源。 需要注意的是,这个程序需要在root权限下运行,才能够创建和配置tun虚拟网卡。运行程序时,可以使用以下命令来编译和运行程序: ```shell gcc -o tun tun.c sudo ./tun ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值