linux开启内部路由转发、关闭ICMP重定向功能

最新推荐文章于 2024-05-27 11:07:24 发布
最新推荐文章于 2024-05-27 11:07:24 发布
阅读量1.9w 收藏 13
点赞数 1
分类专栏: linux 文章标签: 路由转发

一、开启路由转发

转自http://blog.51cto.com/zouqingyun/1697571

一组内部机器需要连接外网,则需要找一台机器,即可以连接外网,内网机器也可以连接。

因此将这台外网机器当做路由器,做路由转发

1、在需要做路由转发的机器上执行下面命令

1

 [root@shx ~]# echo 1 > /proc/sys/net/ipv4/ip_forward

若是ipv6则执行

echo 1 > /proc/sys/net/ipv6/conf/all/forwarding

但一般不建议,下次开机它又会变为0

修改它的配置文件,把net.ipv4.ip_forward = 1

1

2

3

4

5

6

7

8

9

[root@shx-web150 ~]# vim /etc/sysctl.conf

# Kernel sysctl configuration file for Red Hat Linux

#

# For binary values, 0 is disabled, 1 is enabled.  See sysctl(8) and

# sysctl.conf(5for more details.

# Controls IP packet forwarding

net.ipv4.ip_forward = 1

# Controls source route verification

net.ipv4.conf.default.rp_filter = 1

若是ipv6,则添加net.ipv6.conf.all.forwarding=1 配置项的值

让它立即生效,就执行

1

[root@shx-web150 ~]# sysctl -p

2、紧接着我就把内网机器网关指向A的内网IP地址,结果,还是不能连接到外网,纠结许久。后面想到,才想起要在A做一个NAT转发

1

[root@shx-web150 ~]#iptables -t nat -A POSTROUTING -s 10.1.2.0/24 -j MASQUERADE

若是ipv6,则使用ip6tables

可参考https://blog.csdn.net/hcancientmoon/article/details/40158969 

ipv6相关信息可参考https://www.cnblogs.com/xiangxisheng/p/6415568.html

二、关闭ICMP重定向

ipv4:

# 关闭 icmp 的重定向

echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects

echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects

ipv6:

echo 0 > /proc/sys/net/ipv6/conf/all/accept_redirects

echo 0 > /proc/sys/net/ipv6/conf/default/accept_redirects

echo 0 > /proc/sys/net/ipv6/conf/eth0/accept_redirects

linux内核相关可参考:https://blog.csdn.net/l0605020112/article/details/42837093?locationNum=7&fps=1

 

永久生效(未验证):

ipv4:

# vim /etc/sysctl.conf
net.ipv4.conf.eth0.send_redirects= 0
net.ipv4.conf.eth1.send_redirects= 0
net.ipv4.conf.lo.send_redirects= 0
net.ipv4.conf.default.send_redirects= 0
net.ipv4.conf.all.send_redirects= 0

或者是accept_redirects 。

ipv6:

# vim /etc/sysctl.conf
net.ipv4.conf.eth0.accept_redirects= 0
net.ipv4.conf.eth1.accept_redirects= 0
net.ipv4.conf.lo.accept_redirects= 0
net.ipv4.conf.default.accept_redirects= 0
net.ipv4.conf.all.accept_redirects= 0

参考:https://blog.csdn.net/u010391029/article/details/46441811

 

疑问:accept_redirects和send_redirects的区别。

为什么v6里面只有accept_redirects,而v4里面两者都有,两者作用分别是什么。

wangfei111g
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 停止路由转发策略_linux开启内部路由转发关闭ICMP重定向功能
weixin_39685674的博客
12-21 1423
一、开启路由转发转自http://blog.51cto.com/zouqingyun/1697571一组内部机器需要连接外网,则需要找一台机器,即可以连接外网,内网机器也可以连接。因此将这台外网机器当做路由器,做路由转发1、在需要做路由转发的机器上执行下面命令1[root@shx ~]# echo 1 > /proc/sys/net/ipv4/ip_forward若是ipv6则执行echo ...
Linux利用Sysctl命令调整内核参数
09-15
- `net.ipv4.conf.default.accept_redirects`:设置为`0`阻止ICMP重定向,防止中间人攻击。 - `net.ipv4.conf.default.accept_source_route`:设置为`0`禁止接受源路由,防止路由欺骗。 - `...
ICMP协议(ping、tracert命令)、ICMP重定向】-20211130
AZK707的博客
01-24 1229
一、ICMP(Internet控制信息协议) 最常见的就是ping、tracert命令 1.ping命令 用于确认设备之间是否能正常通信 2.tracert命令 用于追踪路由器设备 在一段很长的网络链路中,中间某一台设备可能出故障时,用tracert命令可以定位到,具体某台设备,这样就不用一个一个ping了。 在tracert过程中,有的设备不允许被跟踪,所以是***请求超时,这是正常现象。为了保密(国家...
freebsd 7.2关闭icmp重定向功能
duiduifei
09-24 185
前些时候在局域网内,做端口映射,通过一台freebsd服务器,映射到自己办公室的机器上,想在另外一个机房的vlan网段访问自己的机器,自己机器的网关是那台freebsd服务器,但是vlan的网关是另外一台服务器,freebsd机器是可以在任何网段中都能访问,但自己的机器不在访问列表内,所以在freebsd上做了端口映射,映射到自己机器上,并且在freebsd服务器上做好静态路由,把所有访问机房的网...
Linux开启路由转发功能
最新发布
杜小帅的博客
05-27 198
【代码】Linux开启路由转发功能
ICMP重定向问题的解决
weixin_33981932的博客
07-21 565
这里跟大家分享一个case中遇到的问题。 某公安厅客户一直在采用A10负载均衡设备对服务器实现流量均衡,但最近突然访问不正常:客户端偶尔能打开登录界面,点击登录键后出现白页,或登录后点击页面链接出现白页。 负载均衡设备采用旁路部署模式,与服务器配置在同一网段的IP,服务器网关指向负载均衡器的接口地址,而负载均衡器的网关指向同一网段的路由器接口地址。之前正...
linux禁止icmp重定向,ICMP重定向报文导致的问题与分析
weixin_42503223的博客
05-14 1693
前段时间, 业务方反馈集群内有一台服务器慢请求(>1s)记录比其他台多一倍。查找了下原因,发现这台服务器的网关配置成同网段内其他服务器IP上了,导致ICMP重定向发生,后面将路由更正后,慢请求缓解很多了。 便于分析,画了个简单拓扑图如下所示:过程分析如下:1). server2如果要与internet通讯,首先是要把报文发送给server1的,因为server2的网关指向server1的。2...
关闭LinuxICMP
kepa520的博客
07-25 1794
暂时性: echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 永久性: vi /etc/sysctl.conf 增加: net.ipv4.icmp_echo_ignore_all = 1 保存后执行sysctl -p
linux关闭网络重定向,如何关闭linux系统中的覆盖输出重定向(>)功能
weixin_28730037的博客
05-04 587
一、问题描述我们在进行文件操作时经常会用到覆盖输出重定向(>),追加输出重定向(>>),很明显的看出两种输出重定向的符号相差不是很大,但是两种的意义却又很大的差别:前者是会覆盖文件的内容的,而后者并不会覆盖文件的内容!我们在使用追加输出重定向时极有可能由于自己的不小心而使用覆盖重定向,从而导致文件内容的丢失,但是linux系统还是可以解决这种问题的。二、问题演示[root@hpf...
linux 去除icmp重定向
12-05 6283
ICMP重定向报文的接收者必须查看三个IP 地址1). 导致重定向的IP地址,即ICMP重定向报文的数据位于IP数据报的首部2). 发送重定向报文的路由器的IP地址,包含重定向信息的IP数据报中的源地址3). 应该采用的路由器IP地址, 在ICMP报文中的4~7字节发生ICMP重定向报文的必要条件:1). 出接口必须等于入接口2). 用于向外传送数据报的路由不能被ICMP重定向报文创建或修改过,
Linux服务器配置与管理:linux防火墙基础.pptx
05-01
防火墙可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径,并通知防火墙管理员。 ④提供数据包的路由选择和网络地址转换(NAT),从而解决局域网中主机使用内部IP地址也能够顺利访问...
通用linux系统安全加固V1.0.pdf
11-11
- 关闭ICMP重定向和特定广播:避免网络探测和攻击。 6. **日志安全配置**: - 非日志服务器禁止接收syslog:保护日志信息不被篡改。 - 配置和启用inetd日志记录:便于追踪和分析异常活动。 - 设置远程日志...
请问linux操作系统下怎么关闭icmp,Linux 开启关闭Ping的操作方法
weixin_42469000的博客
04-29 2200
我们做网站的站长,经常接触服务器的运维,现在用PHP程序的比较多,自然用linux(centos)的也多,Linux 默认是开启 ping 操作的,通过以下两种方式可以开启关闭 ping 操作 。关闭服务器上的ping可以在一定程度上在互联网上隐藏自己,防止一些批量扫描软件探测主机,减少被入侵的几率。1、修改内核参数通过内核参数设置也有两种方式,一种是临时修改,一种是永久修改。1.1 临时设置 ...
Linux安全基线(三)配置6小项
bigwood99的博客
09-27 4470
通过将net.ipv4.conf.all.accept_redirects和设置net.ipv6.conf.all.accept_redirects为0,系统将不接受任何ICMP重定向消息,因此,不允许外部人员更新系统的路由表。它的流行和实用性使基于USB的恶意软件成为网络渗透的一种简单而通用的手段。在网络中,源路由允许发送者部分或完全指定通过网络的路由数据包。相反,非源路由数据包将通过网络中的路由器确定的路径。在/etc/modprobe.d/目录中编辑或创建以.conf结尾的文件文件。
系统内核参数配置
Cookie_1030的专栏
03-24 700
cp -p /proc/sys/net/ipv4/conf/all/accept_redirects /proc/sys/net/ipv4/conf/all/accept_redirects.bak sysctl -w net.ipv4.conf.all.accept_redirects="0"
构建LVS负载均衡集群
热门推荐
CSDN
11-09 1万+
LVS主要用于服务器集群的负载均衡,它工作在网络层,可以实现高性能,高可用的服务器集群技术.它廉价,可把许多低性能的服务器组合在一起形成一个超级服务器.它易用,配置非常简单,且有多种负载均衡的方法.它稳定可靠,即使在集群的服务器中某台服务器无法正常工作,也不影响整体效果.另外可扩展性也非常好.
ipsec verify出错,Version check and ipsec on-path[FAILED]
cherry12100511的博客
11-29 688
Checking if IPsec got installed and started correctly: Version check and ipsec on-path [FAILED] Checking for IPsec support in kernel [OK] NETKEY: Testing XFRM related proc values ICMP default/send_redir
linux负载均衡部署步骤,在Linux下搭建集群负载均衡系统
weixin_35802571的博客
05-14 606
搭建集群负载均衡系统负载均衡集群是在应用服务器高负载的情况下,由多台节点提供可伸缩的,高负载的服务器组以保证对外提供良好的服务响应;而LVS就是实现这一功能的技术.实际上LVS是一种Linux操作系统上基于IP层的负载均衡调度技术,它在操作系统核心层上,将来自IP层的TCP/UDP请求均衡地转移到不同的服务器,从而将一组服务器构成一个高性能、高可用的虚拟服务器。使用三台机器就可以用LVS实现最简单...
lvs+keepalived要点详解二
qq_37369726的博客
11-06 824
一.nat模式 nat模式原理中的要点: 请求到达调度器,ipvs对比数据包请求是否为集群服务,若是,修改数据包的目标ip地址为后端服务器ip,然后将数据包发至POSTROUTING链。此时报文的源ip为cip(客户端),目标ip为Rip(后端真实) 返回时: 调度器将源ip修改为自己的vip,然后相应给客户端。此时报文的源ip为vip,目标ip为cip。 要点一:icmp重定向 icmp重定向...
linux开启路由转发功能
06-28
### 回答1: Linux开启路由转发功能的方法有很多种,其中一种是在终端中运行以下命令: ``` sudo sysctl -w net.ipv4.ip_forward=1 ``` 这会立即在内核中开启路由转发。如果要永久开启路由转发,可以将上述命令添加到/etc/sysctl.conf文件中。还有其他的方法,比如使用iptables或者配置网络接口文件等。 ### 回答2: Linux开启路由转发功能可以让我们的Linux系统成为一个可以接收和转发网络数据包的路由器,可以将来自一个网络段的数据包转发到另一个网络段,实现不同网络间的通信。以下是具体的步骤: 1. 确认系统是否已安装iptables,如果没有则需要安装。在终端输入以下命令来安装Iptables: ``` sudo apt-get install iptables ``` 2. 确认系统的网络接口名,可以在终端输入以下命令查看: ``` ifconfig ``` 3. 通过修改内核参数来开启路由转发功能。在终端输入以下命令: ``` sudo sysctl net.ipv4.ip_forward=1 ``` 这将立即使内核参数生效。 4. 配置iptables规则。在终端输入以下命令: ``` sudo iptables -t nat -A POSTROUTING -o your_interface_name -j MASQUERADE ``` 其中“your_interface_name”需要替换成你的网络接口名。 5. 保存iptables规则,以便在下一次系统启动时生效。在终端输入以下命令: ``` sudo iptables-save > /etc/iptables.rules ``` 6. 修改/etc/rc.local文件以便iptables规则在系统启动时自动生效。在终端输入以下命令: ``` sudo vim /etc/rc.local ``` 然后在文件末尾添加以下命令: ``` iptables-restore < /etc/iptables.rules ``` 保存并退出文件。 7. 重启系统。在终端输入以下命令来重启系统: ``` sudo reboot ``` 完成以上步骤后,我们的Linux系统就拥有了路由转发功能,可以实现不同网络间的通信。但需要注意的是,如果直接将Linux系统暴露在公共网络中,则需要采取一系列安全措施,以防止被攻击。 ### 回答3: Linux操作系统是一个开源的操作系统,它的网络功能非常强大,支持路由转发功能路由转发是指在网络中实现不同网段之间的通信,需要通过路由器来进行转发。在Linux系统中,可以通过一些简单的命令来开启路由转发功能,具体步骤如下: 1. 打开Terminal终端(终端的开启方式略有不同,可以根据自己的Linux版本进行操作),使用root用户登录。 2. 输入以下命令来开启路由转发功能: echo 1 > /proc/sys/net/ipv4/ip_forward 这个命令的含义是将ipv4路由转发功能打开,1表示开启,0表示关闭。 3. 可以通过以下命令来查看路由转发是否开启: cat /proc/sys/net/ipv4/ip_forward 如果返回的结果是1,表示路由转发功能已经开启,如果返回的是0,表示没有开启。 4. 在开启路由转发功能后,可以通过以下命令来配置网络: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 其中,“eth0”表示本地网络接口的名称,可以根据实际情况进行修改。这个命令的作用是将本地网络的IP地址转换为公网IP地址,从而实现本地网络和公网的通信。 5. 配置完成后,可以使用ping命令来测试是否能够访问到目标主机。如果能够访问到,说明路由转发功能已经成功开启。 总的来说,在Linux系统中开启路由转发功能比较简单,只需要使用几个命令即可完成。开启路由转发后,可以实现不同网段之间的通信,从而实现网络的互联互通。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值