【博客493】rp_filter对流量的影响

最新推荐文章于 2025-02-24 17:05:27 发布
最新推荐文章于 2025-02-24 17:05:27 发布
阅读量737 收藏 2
点赞数
分类专栏: 计算机网络 linux 文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43684922/article/details/126815705
版权

rp_filter对流量的影响

rp_filter (Reverse Path Filtering)参数定义了网卡对接收到的数据包进行反向路由验证的规则。他有三个值,0、1、2,具体含意如下:

0:关闭反向路由校验

1:开启严格的反向路由校验。对每个进来的数据包,校验其反向路由是否是最佳路由。
   如果反向路由不是最佳路由,则直接丢弃该数据包。
   
2:开启松散的反向路由校验。对每个进来的数据包,校验其源地址是否可达,即反向路由是否能通
   (通过任意网口),如果反向路径不通,则直接丢弃该数据包。

即:

当rp_filter的值为1时,要求反向路由的出口必须与数据包的入口网卡是同一块,否则就会丢弃数据包。
当rp_filter的值为2时,要求反向路由必须是可达的,如果反路由不可达,则会丢弃数据包。

什么是反向路由校验

所谓反向路由校验,就是在一个网卡收到数据包后,把源地址和目标地址对调后查找路由出口,从而得到反身后路由出口。然后根据反向路由出口进行过滤。

rp_filter的配置项

rp_filter是Linux的内核参数,可以针对每个网卡进行配置

net.ipv4.conf.all.rp_filter
net.ipv4.conf.default.rp_filter
net.ipv4.conf.lo.rp_filter
net.ipv4.conf.eth0.rp_filter
net.ipv4.conf.eth1.rp_filter
net.ipv4.conf.eth2.rp_filter
……

开启rp_filter参数的作用

1、减少DDoS攻击

校验数据包的反向路径,如果反向路径不合适,则直接丢弃数据包,避免过多的无效连接消耗系统资源。

2、防止IP Spoofing

校验数据包的反向路径,如果客户端伪造的源IP地址对应的反向路径不在路由表中,或者反向路径不是最佳路径,则直接丢弃数据包,不会向伪造IP的客户端回复响应。

两种常见的非法攻击手段:

1、DDos攻击(Distribute Deny of Service)

分布式拒绝服务攻击。通过构造大量的无用数据包向目标服务发起请求,占用目标服务主机大量的资源,还可能造成网络拥塞,进而影响到正常用户的访问。

2、IP Spoofing(IP欺骗)

IP Spoofing指一个客户端通过伪造源IP,冒充另外一个客户端与目标服务进行通信,从而达到某些不可告人的秘密。

配置方式

1、临时生效的配置方式

临时生效的配置方式,在系统重启,或对系统的网络服务进行重启后都会失效。这种方式可用于临时测试、或做实验时使用。

使用 sysctl 指令配置

sysctl 命令的 -w 参数可以实时修改Linux的内核参数,并生效。所以使用如下命令可以修改Linux内核参数中的rp_filter 。

sysctl -w net.ipv4.conf.default.rp_filter =1
sysctl -w net.ipv4.conf.all.rp_filter =1
sysctl -w net.ipv4.conf.lo.rp_filter =1
sysctl -w net.ipv4.conf.eth0.rp_filter =1
sysctl -w net.ipv4.conf.eth1.rp_filter =1
……

2、修改内核参数的映射文件

在Linux文件系统映射出的内核参数配置文件中记录了Linux系统中网络接口 反向路由校验 配置参数 rp_filter 的值。可使用vi编辑器修改文件的内容,也可以使用如下指令修改文件内容:

echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter 
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter 
echo 1 > /proc/sys/net/ipv4/conf/lo/rp_filter 
echo 1 > /proc/sys/net/ipv4/conf/eth0/rp_filter 
echo 1 > /proc/sys/net/ipv4/conf/eth1/rp_filter 
……

3、永久生效的配置方式

永久生效的配置方式,在系统重启、或对系统的网络服务进行重启后还会一直保持生效状态。这种方式可用于生产环境的部署搭建。

修改/etc/sysctl.conf 配置文件可以达到永久生效的目的。

在sysctl.conf配置文件中有一项名为可以添加如下面代码段中的配置项,用于配置Linux内核中的各网络接口的 rp_filter 参数。

net.ipv4.conf.default.rp_filter =1
net.ipv4.conf.all.rp_filter =1
net.ipv4.conf.lo.rp_filter =1
net.ipv4.conf.eth0.rp_filter =1
net.ipv4.conf.eth1.rp_filter =1
……

example

假设机器有2个网口:

eth0: 192.168.1.100
eth1:200.153.1.122

数据包源IP:10.75.153.98,目的IP:200.153.1.122

系统路由表配置为:

[root@localhost ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default      192.168.1.234      0.0.0.0       UG    0      0        0 eth0  
192.168.120.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.75.153.98    0.0.0.0         255.255.255.0   U     0      0        0 eth0

系统rp_filter参数的配置为:

[root@localhost ~]# sysctl -a | grep rp_filter
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.default.rp_filter=1

在这里插入图片描述

如上所示,数据包发到了eth1网卡,如果这时候开启了rp_filter参数,并配置为1,则系统会严格校验数据包的反向路径。从路由表中可以看出,返回响应时数据包要从eth0网卡出,即请求数据包进的网卡和响应数据包出的网卡不是同一个网卡,这时候系统会判断该反向路径不是最佳路径,而直接丢弃该请求数据包。(业务进程也收不到该请求数据包)

价值投资中的小市值股票策略
AI天才研究院
03-24 952
价值投资一直是金融投资领域的重要理念,旨在寻找被市场低估的股票并长期持有以获取超额收益。小市值股票策略作为价值投资的一种特殊形式,聚焦于市值相对较小的公司股票。本文章的目的在于深入剖析小市值股票策略的原理、方法和应用,帮助投资者更好地理解和运用这一策略。范围涵盖了小市值股票的定义、筛选标准、核心算法、数学模型、实际案例以及相关工具和资源等方面。本文将按照以下结构进行阐述:首先介绍小市值股票策略的核心概念和与价值投资的联系;接着详细讲解核心算法原理和具体操作步骤,并给出 Python 代码示例;
《自然语言处理实战入门》第二章: NLP前置技术----网络爬虫简介
shiter编写程序的艺术
05-07 1202
我们平时做自然语言处理,机器学习,都是希望能够有丰富的训练数据集,这样才能获取质量上乘的模型。在大数据时代,处理数据已经不再是是问题了,spark,hadoop ,Elastic search提供了海量甚至巨量的分布式数据处理方法。问题是没有数据怎么办?在合理合法 的前提下自然语言处理 的语料和其他机器学习模型训练数据需要的图片等等各类数据,我们其实都是可以通过网络爬虫的方式进行积累的。 文章大...
单linux服务器同时拨多条ADSL和挂多个固定公网ip通过squid实现代理池方案
热门推荐
xuyaqun的专栏
02-13 1万+
背景: 大数据时代,谁拥有数据谁才能有美好未来,很多互联网公司本身并不产生数据,怎么办?抓数据,对抓数据,所以在目前巨大的网络流量中有相当一部分是爬虫流量,如搜索引擎蜘蛛、抓取电商网站的商品数据的爬虫等。如本文开始所述,数据即未来,我的数据凭什么让你抓,所以会对用户访问做一些访问频次限制,超过设定就拉黑(如封ip、封特定user agent、封url等),但这也只是做频次限制而已,并没有完全
linux 打开多网络上网功能
ldinvicible的专栏
11-18 3310
ip: RTNETLINK answers: Operation not supported linux当有多个网络需要同时上网时候需要关闭此功能 echo 0 >/proc/sys/net/ipv4/conf/all/rp_filter echo 0 >/proc/sys/net/ipv4/conf/eth0/rp_filter 一、rp_filter参数介绍 rp_filter参数用于控制系统是否开启数据包地址校验。 首先看一下Linux内核文档document..
Linux 双网卡配置两个IP同时只有一个会通的原因
mgh_1991的博客
02-24 239
*rp_filter(Reverse Path Filtering)是Linux内核中的一个功能,用于防止IP欺骗攻击当数据包到达一个主机时,内核会检查该数据包的来源地址和路由表中的目标地址是否匹配。如果它们不匹配,内核将丢弃该数据包。这有助于防止恶意攻击者伪造源IP地址,从而绕过防火墙或其他安全措施。rp_filter有两种模式:0:禁用反向路径过滤。这意味着内核不会检查数据包的来源地址和路由表中的目标地址是否匹配。这可能会增加受到IP欺骗攻击的风险。1:启用基本反向路径过滤。
linux通过adsl方式pppoe多线路多播
沐阳的博客
04-15 2468
此文档讲解了双ADSL及多ADSL增加线路的配置过程。 AD: 经过一段时间的观察,证明运行良好,现把设置过程及方法总结一下,欢迎指正。此文档可以说明双ADSL及多ADSL增加线路的配置过程。  实验环境:   操作系统: RedHat7.3   两条ADSL,长期观察线路稳定,动态ip,带宽2M,  三块网卡: eth0 tulip,接内网   eth1 3c59x,接第一条ADSL  eth2 8139too,接第二条ADSL ethn xxxx,(如果还有的话....)   .
linux服务器两个网口同时能访问_「N合1服务器进阶指南」,搞定NAS部署软路由双线宽带接入...
weixin_39635432的博客
11-11 1458
Hello,大家好!我是Liuspy。欢迎大家关注楼主最新开设的的专栏——【家庭娱乐中心进化论】。在本专栏中楼主会结合自身多年的经验,为大家介绍家庭网络覆盖、NAS、游戏主机、娱乐中心构建、影音室打造等诸多内容,围绕家庭娱乐中心的打造进行详细的指导。对家庭娱乐设备感兴趣的朋友快来关注楼主吧!!!!一、前言关注过楼主的朋友一定都知道,楼主是个不折不扣宅男,喜欢折腾家庭网络、家庭影院、智能家居等懒人产...
Docker容器中执行throttle.sh显示权限报错:RTNETLINK answers: Operation not permitted
我的技术栈碎碎念空间
11-05 2425
解决方案说简单也挺简单,只需要两步完成。但是其实又蛮繁琐,因为需要将现在的容器保存为镜像,然后从镜像重新创建容器(关键点是在创建新容器过程中加入权限指令)。但是,出现了权限的报错:RTNETLINK answers: Operation not permitted。
sysctl.conf 配置详解(待补充)
醉世老翁的博客
02-09 2709
配置内核参数的两种方法: 临时配置 : echo 1 > /proc/sys/kernel/core_uses_pid 永久配置:vi /etc/sysct.conf 添加: kernel.core_uses_pid = 1 net.ipv4.icmp_echo_ignore_all=1 #是否开启忽略ping,1=是,0=否 net.ipv4.ip_forward = 1 #是否开启ip转发, 1 = 是 , 0 = 否 net.ipv4.icmp_ignore_bogus_..
路由策略中 ACL、IP Prefix、Filter Policy、Router Policy 的使用
u013669912的博客
07-05 2916
2022-08-13 网工进阶(二十五) RSTP进阶知识-RSTP对STP的改进、拓扑收敛过程
x629242的博客
08-13 1214
在While Timer中,除了边缘端口以外的RP端口和AP端口会清空学习到的MCA地址并且发送TC置位的RST BPDU给其他交换机,当While Timer计时结束时,停止发送RST BPDU。3 下游交换机收到Proposal位置位的RST BPDU后,所有接口进入同步状态,同步完成后,RP根端口进入Forwarding状态并发送Agreement位置位的回应RST BPDU给上游交换机的DP端口。运行RSTP的交换设备在某端口上接收到运行STP的交换设备发出的配置BPDU,.........
反向过滤技术rpfilter
mueryidao的专栏
08-07 3858
项目中有一个操作是  echo "+ make sure the rp_filter is disabled on br0" for i in `find /proc/sys/net -name rp_filter`; do echo 0 > $i done
Linux IPV6相关报错:RTNETLINK answers: Permission denied
BertonYip
06-27 9352
操作如图   给服务器设置IPV6操作的时候   报错输入sysctl -a |grep disable_ipv6  看到全部都是1   大概意思就是"不允许ipv6"的意思解决方案是把全部变成0  vi /etc/sysctl.conf 修改disable_ipv6的所有变成0然后/sbin/sysctl -p【立即生效】问题解决!...
CentOS多网卡下 应用层无法收到组播的问题解决
norsd的专栏
03-10 6253
rp_filter = 0 系统配置文件 1. /etc/sysctl.conf 把 net.ipv4.conf.all.rp_filter和net.ipv4.conf.default.rp_filter设为0即可 net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.rp_filter = 0
Linux启动网卡时出现RTNETLINK answers: File exists错误解决方法
weixin_33775572的博客
09-25 774
一、问题描述VMware中克隆虚拟机是经常的事情,虽然如此,用到虚拟机时,本人还是喜欢新安装一个操作系统,针对服务器的应用,在安装操作系统时,一并安装好,并且也花不了多少时间。但最近需要大量的配置一样的虚拟机进行测试,故安装了一个模板虚拟机,然后直接复制模板虚拟机到不同的文件夹,然后使用VMware 直接打开使用,但问题出来了,打开这些复制(克隆)的虚拟机全部会出现网络无法启...
linux 网卡丢弃多播包,rp_filter及Linux下多网卡接收多播的问题
weixin_33520510的博客
05-02 471
工作中曾遇到一个很奇怪的问题,我奉命调查。事情是这样的,有一台双网卡的机器,上面装有Fedora8,运行一个程序。该程序分别在两个网口上都接收多播数据,程序运行是正常的。但是,后来升级系统到Fedora13,发现就出问题了:在运行几秒钟后,第2个网口上就接收不到多播数据了。能不能收到多播,取决于交换机是不是往这个网口上转发多播数据。程序在起动的时候,会发一个IGMP的AddMembership的消...
nginx代理服务器内核参数调优
ding_zk的博客
08-31 3970
【代码】nginx代理服务器内核参数调优。
/etc/sysctl.conf的参数
影子
09-21 2429
我们公司最近Android部分用户不能连接服务器移动、电信、联通都出现了问题,ios却是可以连接服务器,很稳定,找了很多关于后端的问题,基本都没啥问题,最后发现Android里面每次请求服务器都要ping一下www.baidu.com ,ios则是ping的我们服务器。故当我们在使用阿里云的VPC虚拟专网的时候,使用弹性IP接入,一定要注意NAT的问题,在服务器参数上关闭net.ipv4.tcp_tw_recycle。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭。
Linux rp_filter
最新发布
03-13
<think>好的,用户想了解如何在Linux中配置和使用rp_filter参数。首先,我需要回忆一下rp_filter的作用和相关配置方法。 首先,rp_filter反向路径过滤,用来防止IP地址欺骗,增强网络安全。它有三种模式:0(关闭)、1(严格模式)、2(宽松模式)。用户可能需要知道这些模式的区别和应用场景。 接下来,配置方法。用户可以通过sysctl命令临时修改,或者编辑sysctl.conf文件永久生效。需要具体说明步骤,比如使用echo命令修改/proc下的文件,或者修改/etc/sysctl.conf后执行sysctl -p。 然后,需要注意不同网络接口可能需要单独设置,比如eth0、eth1,或者使用all和default。还要提到Oracle RAC的情况,引用中的例子需要设置rp_filter为2,这可能和多个私网网卡有关,应该引用用户提供的参考内容,特别是引用[2]和[3]。 用户可能遇到的常见问题,比如网络不通的情况,需要检查rp_filter设置是否导致丢包。可能需要指导如何临时关闭来测试,或者调整到宽松模式。 此外,相关参数如arp_filter、arp_ignore、arp_announce可能也需要一起配置,但用户的问题主要集中在rp_filter,所以可以简要提及,但主要回答rp_filter的配置。 还要确保回答结构清晰,分步骤说明配置方法,注意事项,以及验证方式。最后生成相关问题,覆盖应用场景、与其他参数的关系、Oracle RAC的特殊配置等,符合用户给的示例中的问题格式。</think>### 如何在Linux中配置和使用rp_filter参数 #### 1. **rp_filter参数的作用** `rp_filter`(Reverse Path Filtering)是Linux内核用于验证数据包来源的机制,通过反向路径检查防止IP地址欺骗攻击。其工作模式如下: - **0(关闭)**:不进行反向路径验证。 - **1(严格模式)**:检查数据包的源地址是否可通过接收网卡的路由表返回,否则丢弃[^1]。 - **2(宽松模式)**:只要存在任一网卡可通过路由到达源地址即放行[^2]。 #### 2. **配置方法** ##### 临时生效(重启后失效) ```bash # 查看当前配置 sysctl net.ipv4.conf.all.rp_filter # 修改配置(以eth0网卡为例) echo 2 > /proc/sys/net/ipv4/conf/eth0/rp_filter ``` ##### 永久生效 1. 编辑`/etc/sysctl.conf`文件: ```bash # 全局设置 net.ipv4.conf.default.rp_filter = 2 net.ipv4.conf.all.rp_filter = 2 # 按网卡单独设置(例如私网网卡eth2、eth3) net.ipv4.conf.eth2.rp_filter = 2 net.ipv4.conf.eth3.rp_filter = 2 ``` 2. 应用配置: ```bash sysctl -p ``` #### 3. **特殊场景示例** - **Oracle RAC多私网网卡**:若使用HAIP实现私网冗余,需将所有私网网卡的`rp_filter`设为`2`以避免网络不通[^2]。 - **多网卡负载均衡**:结合`arp_filter=1`,确保ARP响应与路由表一致[^1]。 #### 4. **验证与调试** ```bash # 检查配置是否生效 cat /proc/sys/net/ipv4/conf/eth2/rp_filter # 网络测试(替换为目标IP) ping -I eth2 192.168.1.100 ``` 若出现丢包,可临时将`rp_filter`设为`0`进行问题排查[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值