tun虚拟网卡和fib_validate_source的反向过滤

最新推荐文章于 2023-01-20 11:43:31 发布
最新推荐文章于 2023-01-20 11:43:31 发布
阅读量2.4k 收藏
点赞数
分类专栏: tun fib_validate_source 反向路径过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/layrong/article/details/45672891
版权

想在用户空间构造一个IP数据包,然后通过写到tun虚拟网卡,通过内核协议栈转发出去。发现数据包能通过pre_routing Hook节点,就是过不了forward Hook。进一步追踪,发现到了fib_validate_source函数就drop掉了。

经过向大牛请教及自己分析,才知道是反向路由过滤的原因。

反向过滤参考 http://blog.csdn.net/layrong/article/details/45673037

当开启反向路径过滤时,对于从网卡A交付到协议栈转发的数据包fib_validate_source会检查路由表中对于源IP地址的数据包是否路由到网卡A。因此解决上述问题,需要在路由表中加上对称的路由(以上述数据包源地址为目的地址的数据包路由到Tun网卡),或者关闭rp_filter反向过滤功能!


layrong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux反向路由检查,反向过滤是个什么鬼?
weixin_36242131的博客
05-14 399
1.背景介绍场景跟前面提到的fullnat是一样的。如下组网,ADS集群内存在计算节点1(10.0.103.96)写sysdb保存数据的情景;而sysdb的服务器可能在计算节点2(10.0.103.97)、计算节点3(10.0.103.98)上,通过SLB对外提供接入服务,如10.0.104.107:10000。因此,计算节点1写sysdb时,需要从10.0.103.96发报文到10.0.104....
企业级负载均衡集群——lvs的TUN模式(隧道模式)详细说明
ymeng9527的博客
07-23 2561
1.TUN模式的工作原理 TUN模式简称隧道模式,隧道模式就是修改请求报文的首部IP,再加一层IP报头 优点:DS和RS不需要在同一网段,可以实现不同网络之间的访问 数据流向如下 数据包从客户端发往DS服务器,DS服务器会根据调度策略确定要把请求给哪台RS,会在数据包外面再加一层IP报头 此时源IP从CIP(172.25.8.250)变为了VIP(DIP172.25.8.100) 目的IP从VIP...
linux内核路由模块fib_valid_source函数(反向路由检测)
Network/Storage/Linux Kernel
09-20 3118
表示对linu内核查路由的的效率表示堪忧。 一个经过linux的报文,无论是上送本机,还是转发,都会进行大于等于2次的查路由动作。 即执行大于等于2次的fib_lookup。 外部包过来,ip_rcv->ip_rcv_finish->ip_route_input->ip_route_input_slow ip_route_input_slow判断报文是否转发,还是上送本机即ip_forward
arp request处理流程分析
weixin_45772887的博客
01-20 692
arp request处理流程分析,使用网络地址访问失败原因分析
反向路径过滤——reverse path filter
layrong的专栏
05-12 6180
反向路径过滤——reverse path filter 一、原理 先介绍个非对称路由的概念 参考《Understanding Linux Network Internals》三十章, 30.2. Essential Elements of Routing Symmetric routes and asymmetric routes Usually, the route take
多网卡配置同一网段IP情况解析
whenloce的专栏
05-29 1万+
目录 一、概述 二、分析 一、概述 一般情况下是不这么配置的,但是实际项目中总有些奇葩的甲方。在虚拟机中模拟一下这个情形。 二、分析 虚拟机中添加三个网卡,ip地址配置成同一个网段,桥接。主机的IP地址是192.168.0.109 ens33:inet 192.168.0.112 netmask 255.255.255.0 broadcast 192.168.0.255 ...
关于Linux内核引入的accept_local参数的一个问题
热门推荐
Netfilter
12-07 1万+
我本没有工作日写东西的习惯,但是前些天跟同事一起研究了一个我很感兴趣的问题,最后总结了一道自认为比较好的题目想分享出来,同时感谢同事赠票之恩,就不得不放弃看动漫的时间,来写点东西了。送给这位同事!前些天讨论了一个问题,在问题搞定之后,我就着这个话题又多想了一些,最终折腾出一道非常不错的题目,我觉得可以作为面试题选用,旨在考查应聘者对Linux IP路由实现,Policy Routing,iptabl
tun/tap虚拟网卡驱动tun.ko
08-17
tun/tap虚拟网卡驱动
tuntap.rar_tun_tun tap_tuntap_universal
07-13
Universal TUN TAP device driver.
tun.rar_tun tap_universal
07-15
TUN - Universal TUN TAP device driver.
tuntap虚拟网卡
05-19
tuntap官方原版驱动,分32位64位,附带教程,没有任何捆绑
Linux反向过滤导致网卡无法从外网ping通
Aragorn_XH的博客
07-27 1772
Linux反向过滤导致网卡无法从外网ping通Linux反向过滤导致网卡无法从外网ping通 现象 分析 解决 临时法 永久法现象Cloud2有两块网卡,分别是172.31.196.2和172.31.192.202 某次重启后,办公机(172.25.167.34)可以与172.31.196.2通,但是与172.31.192.202不通。 检查路由表没有问题。cloud2与192网段的机器是通的,
linux内核的反向路由检查机制
jyshappy的博客
05-30 1525
今天遇到一个问题,eth1, eth2 双网卡,都配有IP, 默认网关在eth1 上。 尝试给另一个网卡加上同样的默认网关。 插入之后,发现ens161 无法访问, ens256 可以访问。 删除此条路由,ens161 可以访问,ens256无法访问。 route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10
linux内核 路由fib表之输入查找
森海的博客
08-18 3839
路由fib表之输入查找
《深入理解Linux网络技术内幕》阅读笔记 --- 路由查找
weixin_30408739的博客
07-07 167
概述 1、不论是入口还是出口流量,都是利用fib_lookup来查找路由表,fib_lookup是对每一个路由表所提供的查找函数的包裹函数,当不支持策略路由时,查找函数版本针对的是local表和main表 2、辅助函数: fib_validate_source:对从一个给定设备接收到的封包的源IP地址检查,检测企图的IP欺骗,而且要在开启非对称路由情况下,确保封包的源IP地址通过该封...
TCP/IP网络的一些问题(路由/协议/linux的实现)
Netfilter
08-28 6843
<br />1.linux的虚拟网卡-tun<br /> linux的虚拟网卡驱动可以配置为两种模式,一种是点对点的tun模式,一种是以太网tap模式,实质上tun模式中从虚拟网卡出来的是ip数据报,也就是三层数据,而tap模式中从虚拟网卡中出来的以太网帧,也就是二层链路层数据。tun模式封装的ip数据报可以直接传输给对端,这种点对点模式中对端是确定的,不需要寻址的,因此tun模式下的虚拟网卡是没有mac地址,即链路层地址的,因此tun模式的通信可以省去arp地址解析,但是tap模式下就不同了,tap模式
iptables 使用总结
weixin_30871701的博客
05-24 696
Linux 系统的防火墙功能是由内核实现的   2.0 版内核中,包过滤机制是 ipfw,管理工具是 ipfwadm   2.2 版内核中,包过滤机制是 ipchain,管理工具是 ipchains   2.4 版及以后的内核中,包过滤机制是 netfilter,管理工具是 iptables iptables   用户态     位于/sbin/ipta...
Linux 内核网络协议栈 ------ Linux 内核路由机制(二)之 ip层开始 -> 直到包被处理
shanshanpt的专栏
03-10 1万+
Linux 内核路由机制(二) ---- ip层开始 -> 直到包被处理
c语言实现启动tun虚拟网卡
最新发布
04-02
在这个程序中, `tun_alloc()` 函数用于创建和配置tun虚拟网卡。它首先打开 `/dev/net/tun` 设备文件,然后使用 `ioctl()` 系统调用设置tun虚拟网卡的参数。在这里,我们将网卡的名称设置为“tun0”,并且将 `IFF_NO...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值