Linux rp_filter和arp_filter参数浅析

已于 2022-04-22 16:57:23 修改
阅读量1.6k 收藏 2
点赞数
分类专栏: Linux 文章标签: linux 运维 centos
于 2022-04-21 21:11:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41586875/article/details/124331851
版权

​ 在默认配置下,只要ARP请求中的目标IP配置在本机,无论其是否配置在收到ARP请求数据包的接口上,Linux收包接口都会以身MAC地址发送ARP响应。若是不希望接口响应所有本机IP,可以通过修改arp_ignore参数来调整

测试环境

网卡IP
机器1-ens33192.168.1.11
机器1-ens36192.168.1.12
机器2-ens160192.168.1.15
vmare1192.168.1.1

实验

# 查看网络信息
[root@node1 ~]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:ec:1c:2d brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.11/24 brd 192.168.1.255 scope global noprefixroute ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::624c:c1db:e3b4:9165/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: ens36: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:ec:1c:37 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.12/24 brd 192.168.1.255 scope global noprefixroute ens36
       valid_lft forever preferred_lft forever
    inet6 fe80::5dab:f84:95b8:1f/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever


# 查看此时路由信息
[root@node1 ~]# ip route
192.168.1.0/24 dev ens33 proto kernel scope link src 192.168.1.11 metric 100 
192.168.1.0/24 dev ens36 proto kernel scope link src 192.168.1.12 metric 101

# arp_filter和rp_filter全开
    sysctl -w net.ipv4.conf.all.arp_filter=1
    sysctl -w net.ipv4.conf.all.rp_filter=1
    sysctl -w net.ipv4.conf.ens36.arp_filter=1
    sysctl -w net.ipv4.conf.ens36.rp_filter=1
    sysctl -w net.ipv4.conf.default.arp_filter=1
    sysctl -w net.ipv4.conf.default.rp_filter=1
    sysctl -w net.ipv4.conf.ens33.arp_filter=1
    sysctl -w net.ipv4.conf.ens33.rp_filter=1
    sysctl -w net.ipv4.conf.lo.arp_filter=1
    sysctl -w net.ipv4.conf.lo.rp_filter=1


# 机器2 ping 192.168.1.12
[root@localhost ~]# ping 192.168.1.12
PING 192.168.1.12 (192.168.1.12) 56(84) bytes of data.
64 bytes from 192.168.1.12: icmp_seq=1 ttl=64 time=0.397 ms
64 bytes from 192.168.1.12: icmp_seq=2 ttl=64 time=0.393 ms
64 bytes from 192.168.1.12: icmp_seq=3 ttl=64 time=1.15 ms
64 bytes from 192.168.1.12: icmp_seq=4 ttl=64 time=0.583 

# 机器2查看arp,可以发现机器一对外只回复了ens33的MAC地址(因为ens36收到后,查询路由表发现需要把包从ens33发出,收发不是同一个接口,立刻把数据包丢了)
[root@localhost ~]# arp -n
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.1.12             ether   00:0c:29:ec:1c:2d   C                     ens160
192.168.1.1              ether   00:50:56:c0:00:01   C                     ens160
192.168.1.11             ether   00:0c:29:ec:1c:2d   C                     ens160

# 机器1升级ens36优先级
[root@node1 ~]# ip route
192.168.1.0/24 dev ens36 scope link 
192.168.1.0/24 dev ens33 scope link metric 100


# 机器2 查看MAC,发现此时对外MAC地址为ens36的了
[root@localhost ~]# arp -n
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.1.12             ether   00:0c:29:ec:1c:37   C                     ens160
192.168.1.1              ether   00:50:56:c0:00:01   C                     ens160
192.168.1.11             ether   00:0c:29:ec:1c:37   C                     ens160

# arp_filter和rp_filter全关
    sysctl -w net.ipv4.conf.all.arp_filter=0
    sysctl -w net.ipv4.conf.all.rp_filter=0
    sysctl -w net.ipv4.conf.ens36.arp_filter=0
    sysctl -w net.ipv4.conf.ens36.rp_filter=0
    sysctl -w net.ipv4.conf.default.arp_filter=0
    sysctl -w net.ipv4.conf.default.rp_filter=0
    sysctl -w net.ipv4.conf.ens33.arp_filter=0
    sysctl -w net.ipv4.conf.ens33.rp_filter=0
    sysctl -w net.ipv4.conf.lo.arp_filter=0
    sysctl -w net.ipv4.conf.lo.rp_filter=0

# 查看机器1 路由
[root@node1 ~]# ip route
192.168.1.0/24 dev ens33 proto kernel scope link src 192.168.1.11 metric 100 
192.168.1.0/24 dev ens36 proto kernel scope link src 192.168.1.12 metric 101

# 机器2 ping 机器1
[root@localhost ~]# ping -c 1 192.168.1.11
PING 192.168.1.11 (192.168.1.11) 56(84) bytes of data.
64 bytes from 192.168.1.11: icmp_seq=1 ttl=64 time=0.849 ms

--- 192.168.1.11 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.849/0.849/0.849/0.000 ms
[root@localhost ~]# ping -c 1 192.168.1.12
PING 192.168.1.12 (192.168.1.12) 56(84) bytes of data.
64 bytes from 192.168.1.12: icmp_seq=1 ttl=64 time=0.572 ms

--- 192.168.1.12 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.572/0.572/0.572/0.000 ms


# 查看机器的tcpdump抓包,发现现在二张网卡开始同时对外提供MAC地址了,在之前二张网卡只会对外响应一个MAC地址(但是在这种情况下先发的响应包可能会被后响应的覆盖)
[root@node1 ~]# tcpdump -i any arp -Nnv
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
09:06:09.155324 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.1.11 tell 192.168.1.15, length 46
09:06:09.155351 ARP, Ethernet (len 6), IPv4 (len 4), Reply 192.168.1.11 is-at 00:0c:29:ec:1c:2d, length 28
09:06:09.155632 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.1.11 tell 192.168.1.15, length 46
09:06:09.155641 ARP, Ethernet (len 6), IPv4 (len 4), Reply 192.168.1.11 is-at 00:0c:29:ec:1c:37, length 28
09:06:10.834215 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.1.12 tell 192.168.1.15, length 46
09:06:10.834238 ARP, Ethernet (len 6), IPv4 (len 4), Reply 192.168.1.12 is-at 00:0c:29:ec:1c:2d, length 28
09:06:10.834330 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.1.12 tell 192.168.1.15, length 46
09:06:10.834336 ARP, Ethernet (len 6), IPv4 (len 4), Reply 192.168.1.12 is-at 00:0c:29:ec:1c:37, length 28
旺仔_牛奶
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
AxureRP_for_chorme_0_6_2.zip
02-10
谷歌浏览器无法打开RP原型图,安装这个插件就可以看了. AXURE RP EXTENSION For Chrome Google Chrome requires an extension to view locally stored projects. Alternatively, upload your RP file to AxShare or use a different browser.
Linux rp_filterarp_filterarp_ignore、arp_announce参数说明
最新发布
shijin741231的博客
02-15 1319
Linux rp_filterarp_filterarp_ignore、arp_announce参数说明。我查看了参考资料,又去查阅了官方文档,凭着我的理解整理了以下文档。
最新AxureRP_for_chorme_0_6_2.rar
03-13
安装方法 1、打开Chrome浏览器,找到“工具 -> 扩展程序”; 2、将下载的Axure-RP-Extension-for-Chrome-0.6.2.crx文件拖到界面当中; 如果上述报错,无法安装 将crx后缀换成rar ,然后解压,最后在扩展程序界面选择加载已解压的扩展程序即可。
Linux内核的 反向路由检查机制rp_filter
u014644574的博客
04-12 1373
Linux内核的 反向路由检查机制rp_filter
自学网络 arp_ignore/arp_announce
weixin_30497527的博客
05-18 161
1)机器上有好几个IP地址,如何让网卡只接收自己IP地址的数据包; 如何只接收自己网卡的数据包 http://www.cnblogs.com/honpey/p/8447819.html 相关的配置arp_filterarp_ignore这两个参数是干嘛的? 设置arp_ignore就好,这里控制的如果IP地址发给我网卡绑定的IP地址,那么我是否要回复对端发给自己的mac地址。但是如果对...
Linux下网卡接收数据包过滤关闭设置
无知的我
10-11 3364
在设备使用linux操作系统(湖南麒麟)时,当外界通过网络发组播包给该设备对应网卡时,有可能会出现网卡通过socket无法接收网络包的情况。此时在linux下通过tcpdump能够抓到网卡接收到的网络包,只是该网络包未传递给上层应用。出现这种情况时,通常是linux系统下默认对网卡设置了过滤条件,导致底层能收到包,但被上层过滤。可以通过关闭网卡过滤条件进行解决。在/etc/sysctl.conf内。添加后重启系统生效。
arp_filterarp_ignore、rp_filter详解
weixin_43087731的博客
10-09 560
问题小记
sysctl arp_filter 的作用
可能青蛙的专栏
06-17 5583
在文 arp_announce 的作用 里解释了 arp_announce 的用途,即控制 arp 请求包。今天又碰到一个也是和 arp 有关的问题, 涉及到另外一个参数 arp_filter,这个参数arp 响应有关系。 在某台 ESXi 部署了一台虚拟机 A。ESXi 宿主机上一个物理网卡和交换机的 trunk 端口相连,即通过该物理网卡能访问多个网段,假设有两个网段分别为 19
ping -I 和 默认路由 和 rp_filter 踩坑笔记
只有自己觉到悟到的,才是自己的。
10-15 3824
环境:两个网卡,不同网段。 eth0 : 172.21.67.x eth1 : 192.168.172.x 默认路由如下: 此时 下面的两种方法都是通的 ping 8.8.8.8 ---> 通 ping 8.8.8.8 -I eth0 ---> 通 ping 8.8.8.8 -I eth1 ---> 不通 按理说 指定 -I 参数,已经指定了 数据包从 eth1 发出去,和默认路由是无关的,当8.8.8.8 收到数据后,在发给设备,...
linux】修改arp_ignore、arp_announce、arp_filter、accept_local |内核调优
bandaoyu的note
09-02 6578
对网络接口上本地IP地址发出的ARP报文作出相应级别的限制。0:本机所有IP地址都向任何一个接口通告ARP报文。1:尽量仅向该网卡回应与该网段匹配的ARP报文。2:只向该网卡回应与该网段匹配的ARP报文。
RP.rar_rp_sonix_sonix RP_sonixRP
09-24
SONIX RP系统的技术指标,工作流程介绍及详细说明书
rp.rar_recurrence plo_rp_rp matl
09-20
对序列进行重构后,计算对应的矩阵,针对不同的嵌入参数,得到不同的图形
Axure RP_9.0.0.3723.zip
08-29
Mac版本Axure RP_9,一款功能强劲、操作轻松、专业可靠的快速原型设计工具。 如果提示资源不可用,使用以下命令: sudo xattr -r -d com.apple.quarantine /Applications/Axure\ RP\ 9.app
内核参数rp_filter 校验数据包源地址
bigdatafreedom的博客
10-16 1247
rp_filter作用 校验数据包源地址是否可达 rp_filter 值说明 0: 关闭rp_filter检测功能,数据包经网卡eth1流入,不管源IP是否可达,都不会丢弃 1:数据包经网卡eth1流入,通过检测发现源IP可以通过eth1可达,数据包放行,如果源IP不能通过eth1可达,则丢弃当前数据包 2:数据包经网卡eth1流入,只要源IP通过路由可达即可,未必非得是当前eth1网卡,其他网卡也可以,如果源IP通过所有的网卡,都不可达,则丢失数据包。 注意:此值默认为0,但其他脚本会修改此值。 设置内
arp_ignore背后的rp_filterarp_filter
热门推荐
Netfilter
01-18 1万+
<br />操作系统:Debian 3<br /> 机器和网络配置:<br /> 测试机器eth0:<br /> inet addr:192.168.1.82<br /> 当事机配置:<br /> eth0:<br /> inet addr:192.168.1.247/HWaddr 00:15:17:F4:9A:E0 <br /> eth1:<br /> inet addr:192.168.1.246/HWaddr 00:15:17:F4:9A:E1<br /> eth0和eth1插于同一
arp_ignore=1与arp_filter=1之争
qq_20679687的博客
10-18 133
众所周知,内核网络配置参数arp_ignore=1可实现与arp_filter=1一样的功能,都能解决多网卡同子网ip时的多次arp响应 问题。那么到底应该使用哪个配置呢?
.net 读蓝牙数据_理解 net.ipv4.conf.all.rp_filter
weixin_39970855的博客
12-23 671
Comzyh:一些坑了我的 Linux 内核网络参数​zhuanlan.zhihu.com前面文章提到了,rp_filter 本身会过滤反向路由不通的数据包。用通俗的话解释一下,就是NIC1 有 incoming 数据包,Reverse Path Filtering 模块会将数据包的源地址和目的地址(srcIP->dstIP)调转过来成为(dstIP->srcIP),然后在路由表中查找...
linux 内核参数优化
一口Linux的专栏
06-26 930
Sysctl命令及linux内核参数调整 一、Sysctl命令用来配置与显示在/proc/sys目录中的内核参数.如果想使参数长期保存,可以通过编辑/etc/sysctl.conf文件来实现。 命令格式: sysctl [-n] [-e] -w variable=value sysctl [-n] [-e] -p (default /etc/sysctl.conf) sysctl [-n] [-e] –a 常用参数的意义: -w 临时改变某个指定参数的值,如 # sysctl -w
sysctl net.ipv4.conf.all.rp_filter
07-12
该命令用于查看和设置 Linux 内核参数 `net.ipv4.conf.all.rp_filter` 的值。这个参数控制了反向路径过滤的行为。反向路径过滤用于防止 IP 欺骗攻击,它会检查接收到的网络数据包的源 IP 地址是否可以通过相同的接口进行回复。 要查看当前的值,可以在终端中运行以下命令: ``` sysctl net.ipv4.conf.all.rp_filter ``` 如果返回值为 `0`,则表示反向路径过滤被禁用;如果返回值为 `1`,则表示启用了严格模式的反向路径过滤;如果返回值为 `2`,则表示启用了宽松模式的反向路径过滤。 要修改该参数的值,可以使用 `sysctl` 命令加上参数名和新的值,例如: ``` sudo sysctl -w net.ipv4.conf.all.rp_filter=1 ``` 这将把反向路径过滤设置为启用严格模式。请确保在修改内核参数之前了解其含义和可能的影响,并在必要时备份相关配置文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旺仔_牛奶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值