Linux内核的 反向路由检查机制rp_filter

最新推荐文章于 2024-04-26 11:16:44 发布
最新推荐文章于 2024-04-26 11:16:44 发布
阅读量1.8k 收藏 11
点赞数
文章标签: rp_filter 反向路由检查
原文链接:https://mp.csdn.net/mp_blog/creation/editor/130118306
版权
在CentOS7系统中,存在双网卡ens18和ens19,当192.168.6.41访问192.168.2.111时遇到路由问题,因回包路径不一致导致通信异常。Linux内核的反向路由检测机制(RP_Filter)用于防止此类问题,它有严格和松散两种模式,可通过调整sysctl参数解决此问题。
摘要由CSDN通过智能技术生成

环境:centos7,双网卡
ens18: 192.168.6.51
ens19: 192.168.2.111

client:192.168.6.41访问192.168.6.51正常,
client:192.168.6.41访问192.168.2.111不正常,

路由如下:


[root@localhost ~]# route -n 
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.6.1     0.0.0.0         UG    102    0        0 ens18
192.168.2.0     0.0.0.0         255.255.255.0   U     101    0        0 ens19
192.168.6.0     0.0.0.0         255.255.255.0   U     102    0        0 ens18

服务器收到数据包之后,如果是自己的包,就会往上层协议栈转发处理,而如果不是自己的,就会根据路由表进行转发。
当服务器接收到来自192.168.6.41访问192.168.6.51的包后,查询路由表最优路径匹配到192.168.6.0,0表示匹配任意,Iface表示网卡,所以会从ens18网口进入,
回包,反向源地址和目的地址互换,目标地址变为192.168.6.41,查询路由表只能匹配到0.0.0.0,Iface表示网卡,所以会从ens18网口出去,
进口和出口都是ens18网卡,所以能正常转发。

当服务器接收到来自192.168.6.41访问192.168.2.111的包后,查询路由表最优路径匹配到192.168.2.0,0表示匹配任意,Iface表示网卡,所以会从ens19网口进入,
回包,反向源地址和目的地址互换,目标地址变为192.168.6.41,查询路由表只能匹配到0.0.0.0,Iface表示网卡,所以会从ens18网口出去,
回包会从ens18发出,这就导致了异步路由问题。

linux内核针对这个问题,有一个安全机制,反向路由检测机制。
Linux的反向路由检测机制,该机制的目的有多个:
– 避免出现意料之外的结果(从一个网卡进,从另一个网卡出),形成循环
– 安全考虑,避免出现IP单播数据包的欺骗
– 避免在较复杂的网络拓扑环境下,因为路由器错误的路径规划,造成反向路径过于复杂,降低网络性能。

rp_filter (Reverse Path Filtering)参数定义了网卡对接收到的数据包进行反向路由验证的规则。他有三个值,0、1、2,具体含意如下:

0:关闭反向路由校验
1:开启严格的反向路由校验。对每个进来的数据包,校验其反向路由是否是最佳路由。如果反向路由不是最佳路由,则直接丢弃该数据包。
2:开启松散的反向路由校验。对每个进来的数据包,校验其源地址是否可达,即反向路由是否能通(通过任意网口),如果反向路径不通,则直接丢弃该数据包。

修改方式如下:

sysctl -w net.ipv4.conf.all.rp_filter=1

参考:

Linux故障之内核反向路由检测_linux反向路由检查_余声不秃头的博客-CSDN博客

小百菜
关注
linux内核路由反向检查,反向路径过滤——reverse path filter
weixin_28882363的博客
04-30 1630
反向路径过滤——reverse path filter一、原理先介绍个非对称路由的概念参考《Understanding Linux Network Internals》三十章,30.2. Essential Elements of RoutingSymmetric routes and asymmetric routesUsually, the route taken from Host A to...
linux 多播网卡设置,rp_filterLinux下多网卡接收多播的问题
weixin_33560311的博客
05-01 1320
工作中曾遇到一个很奇怪的问题,我奉命调查。事情是这样的,有一台双网卡的机器,上面装有Fedora8,运行一个程序。该程序分别在两个网口上都接收多播数据,程序运行是正常的。但是,后来升级系统到Fedora13,发现就出问题了:在运行几秒钟后,第2个网口上就接收不到多播数据了。能不能收到多播,取决于交换机是不是往这个网口上转发多播数据。程序在起动的时候,会发一个IGMP的AddMembership的消...
Linux 高级网络设置
最新发布
wjw7869的专栏
04-26 336
rp_filter (Reverse Path Filtering)参数定义了网卡对接收到的数据包进行反向路由验证的规则。1. rp_filter 逆向路由检查
Linuxrp_filter与策略路由
系统运维
09-05 341
Linuxrp_filter用于实现反向过滤技术,也即uRPF,它验证反向数据包的流向,以避免伪装IP攻击,但是它和Linux的策略路由却很容易发生冲突,其本质原因在于,uRPF技术强制规定了一个反向包的“方向”,而实际的路由是没有方向的。策略路由并没有错,错就错在uRPF增加了一个路由概念本身并没有且从不考虑的约束。典型的例子如下。0.基本环境内网口:eth0外网口1:eth1外网口2:eth...
linux内核路由反向检查,Linux内核反向路由检查机制
weixin_35891787的博客
04-30 727
Linux内核反向路由检查机制(2014-11-26 18:01:04)标签:财经Linux内核反向路由检查机制。当Linux IP协议栈收到一个IP包时,会找路由。本机的包会往上层协议送,而非本机的包会根据路由转发。为了防止非法的包被转发或送给上层协议,查找路由Linux还会调用fib_validate_source()以检查其来源的合法性,基本原理是根据包的源地址查找路由的出接口,然后...
linux内核反向路由检查机制
jyshappy的博客
05-30 1566
今天遇到一个问题,eth1, eth2 双网卡,都配有IP, 默认网关在eth1 上。 尝试给另一个网卡加上同样的默认网关。 插入之后,发现ens161 无法访问, ens256 可以访问。 删除此条路由,ens161 可以访问,ens256无法访问。 route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10
linux内核路由反向检查,Linux路由设置 反向路由设置
weixin_42474220的博客
04-30 241
反向路由设置:route add –net 192.168.200.0 netmask 255.255.255.0 gw 172.31.1.209route del –net 192.168.200.0 netmask 255.255.255.0 gw 172.31.1.209route route命令来配置并查看内核路由表的配置情况。 例如: (1) 添加到主机的路由。 #route add...
linux反向路由检查,反向过滤是个什么鬼?
weixin_34380892的博客
05-14 1912
1.背景介绍场景跟前面提到的fullnat是一样的。如下组网,ADS集群内存在计算节点1(10.0.103.96)写sysdb保存数据的情景;而sysdb的服务器可能在计算节点2(10.0.103.97)、计算节点3(10.0.103.98)上,通过SLB对外提供接入服务,如10.0.104.107:10000。因此,计算节点1写sysdb时,需要从10.0.103.96发报文到10.0.104....
Linux rp_filter配置引起的组播断流问题
weixin_30530523的博客
08-30 1501
引子   前一段时间处理一个线上问题,服务器拉组播码流,但是每隔3-4分钟就断流一次,引起服务异常。排除了交换机和组播网络的问题后, 确认问题还是在服务器侧。 组播为什么断流?   前方工程人员抓包确认,交换机发送了igmp general query报文,但是服务器没有响应组播report报文,交换机上igmp条目超时退出,导致断流。   抓包分析如下: ...
Linux故障之内核反向路由检测
weixin_47683180的博客
01-05 1825
linux解决双网卡只有一张网卡能访问另外一张不能访问的情况。
linux内核路由反向检查,Linux路由設置 反向路由設置
weixin_42548708的博客
04-30 294
反向路由設置:route add –net 192.168.200.0 netmask 255.255.255.0 gw 172.31.1.209route del –net 192.168.200.0 netmask 255.255.255.0 gw 172.31.1.209routeroute命令來配置並查看內核路由表的配置情況。例如:(1) 添加到主機的路由。#route add –ho...
Linux内核反向路由检查机制
热门推荐
changqing1234的专栏
07-16 1万+
今天遇到一个问题,eth1, eth2 双网卡,都配有IP, 默认网关在eth1 上。 尝试给另一个网卡加上同样的默认网关。 插入之后,发现ens161 无法访问, ens256 可以访问。 删除此条路由,ens161 可以访问,ens256无法访问。 route -n Kernel IP routing table Destination     Gateway         Gen...
linux反向路由检测
weixin_34360651的博客
04-17 2711
背景环境是 我们开始在我们的云平台上开始集成SLB测试发现在现有的两个网卡上不同网段 不能让其它网段正常访问 查其原因后是路由反向检测默认开启 需要关闭 就可以正常通讯echo 0 > /proc/sys/net/ipv4/conf/bond0.20/rp_filterecho 0 > /proc/sys/net/ipv4/conf/all/rp_filter 如果使其永久生效/etc...
反向路由
谭明骏编程
05-15 2563
反向路由是CakePHP的特性,用于允许您轻松地更改你的URL结构而不需要修改所有的代码。通过使用路由数组定义您的url,您可以稍后配置路线和生成的url将自动更新。 如果你使用字符串创建url: $this->Html->link('View', '/posts/view/' + $id); 然后决定/职位应该被称为“文章”相反,你会经历整个应用程序重命名的url。然而,如果你定义你的链接
linux内核路由反向检查,Linux非对称路由
weixin_39762075的博客
04-30 370
首先解释一下什么是对称路由和不对称路由。对称路由:symmetric route,指从A到B所走的路由和从B到A所走的路由是相同的不对称路由:asymmetric route,指从A到B所走的路由和从B到A所走的路由是不同的测试过程如下说明:1 以下这三种情况中,iptables和selinux都已关闭2 所有测试均基于RHEL6.8********************************...
linux内核路由反向检查,反向路径过滤
weixin_26873711的博客
04-30 739
第13章 内核网络参数13.1. 反向路径过滤缺省情况下,路由路由一切包,即使某些数据包“明显地”不属于你的网络。一个简单的例子就是私有IP空间溢出到了Internet上。如果你有一个网卡 带有去往195.96.96.0/24的路由,你不会期望从这里收到来自212.64.94.1的数据包。很多人都希望关掉这个功能,所以内核作者们按照这种要求做了。你可以利用/proc下的一些文件来配置内核是否使用...
反向过滤--rp_filter
yunlianglinfeng的专栏
08-22 5883
一、原理 先介绍个非对称路由的概念 参考《Understanding Linux Network Internals》三十章, 30.2. Essential Elements of Routing Symmetric routes and asymmetric routes Usually, the route taken from Host A to Host B is the sa
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值