linux反向路由检查,反向过滤是个什么鬼?

最新推荐文章于 2023-04-12 22:54:10 发布
最新推荐文章于 2023-04-12 22:54:10 发布
阅读量403 收藏
点赞数
文章标签: linux反向路由检查

1.背景介绍

场景跟前面提到的fullnat是一样的。

如下组网,ADS集群内存在计算节点1(10.0.103.96)写sysdb保存数据的情景;而sysdb的服务器可能在计算节点2(10.0.103.97)、计算节点3(10.0.103.98)上,通过SLB对外提供接入服务,如10.0.104.107:10000。

因此,计算节点1写sysdb时,需要从10.0.103.96发报文到10.0.104.107(源地址:目的地址为10.0.103.96:10.0.104.107),然后SLB做FULLNAT,将源地址、目的地址替换为10.0.103.107:10.0.103.97。

4a217d29e2f1c596028e116fcfd57e97.png

这里有一个问题,就是如何指导计算节点1将报文发送给SLB(10.0.104.107)?

2.解决方法

2.1 粗暴的解决方法

很简单,就是在各个计算节点上配置路由为SLB的内部IP(10.0.103.107),即报文直接经VLAN 60转给SLB,报文从eth1口送上去给SLB;应答报文仍然经过eth1送给计算节点。

但这要求用户手工配置计算节点的路由,在部署的时候略为麻烦(部署时还需要yum安装一些包,但这必须配置路由为网关)。

2.2 正确的解决方法

按照最早的想法,如果将计算节点的网关配置为vlan 60的地址,报文可以经过vlan 60转到vlan 70,然后从eth0口上送给SLB;SLB将报文处理完毕后,根据目的地址将应答报文再从eth1发送给计算节点。

但实测发现,SLB直接将报文丢弃了,并没有应答,连接建立失败,而且也没有应答ICMP差错报文。

linux有一个叫做反向过滤(reverse path filter)的功能,简单来说就是为了防DDOS攻击,会检查报文源地址的合法性,如果反查源地址的路由表,发现源地址下一跳的最佳出接口并不是收到报文的入接口,则将报文丢弃。所以只

最低0.47元/天 解锁文章
带刀侍卫杨晁跃
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux内核路由反向检查,反向路径过滤
weixin_36298146的博客
04-30 520
第13章 内核网络参数13.1. 反向路径过滤缺省情况下,路由路由一切包,即使某些数据包“明显地”不属于你的网络。一个简单的例子就是私有IP空间溢出到了Internet上。如果你有一个网卡 带有去往195.96.96.0/24的路由,你不会期望从这里收到来自212.64.94.1的数据包。很多人都希望关掉这个功能,所以内核作者们按照这种要求做了。你可以利用/proc下的一些文件来配置内核是否使用...
Linux故障之内核反向路由检测
weixin_47683180的博客
01-05 1681
linux解决双网卡只有一张网卡能访问另外一张不能访问的情况。
linux内核路由反向检查,反向路径过滤——reverse path filter
weixin_39858245的博客
04-30 667
反向路径过滤——reverse path filter一、原理先介绍个非对称路由的概念参考《Understanding Linux Network Internals》三十章,30.2. Essential Elements of RoutingSymmetric routes and asymmetric routesUsually, the route taken from Host A to...
linux centos7 系统内核参数调优
weixin_50663202的博客
11-12 1654
cat /etc/sysctl.conf CTCDN系统优化参数 关闭ipv6 net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 避免放大攻击 net.ipv4.icmp_echo_ignore_broadcasts = 1 开启恶意icmp错误消息保护 net.ipv4.icmp_ignore_bogus_error_responses = 1 关闭路由转发 net.ipv4.ip_forward = 0 n
2021129:linux篇-grep反向过滤排除
微风❤水墨
11-29 7968
参考来源:在linux系统如何grep过滤中,不包含某些字符串的命令 [root@www ~]# grep [-acinv] [--color=auto] '搜寻字符串' filename 选项与参数: -a :将 binary 文件以 text 文件的方式搜寻数据 -c :计算找到 '搜寻字符串' 的次数 -i :忽略大小写的不同,所以大小写视为相同 -n :顺便输出行号 -v :反向选择,亦即显示出没有 '搜寻字符串' 内容的那一行! --color=auto :可以将找到的关键词部分加上颜色的显示
Linux高级路由和流量控制
08-04
8. **内核网络参数**:内核网络参数如反向路径过滤、邻居策略和路由设置,对于网络性能和安全性至关重要。它们可以通过调整来优化网络行为,防止某些攻击,如SYN洪水攻击。 9. **负载均衡和多网卡配置**:通过负载...
nginx反向代理应用程序
12-24
首先,理解什么是反向代理。反向代理是一种网络服务模式,它接收来自客户端的请求,然后将这些请求转发给内部网络上的一个或多个服务器,最终将响应返回给客户端。这种模式使得服务器可以隐藏后端服务器的信息,提高...
Linux利用Sysctl命令调整内核参数
09-15
- `net.ipv4.conf.default.rp_filter`:设置为`1`启用反向路径过滤检查数据包来源。 - `net.ipv4.tcp_syncookies`:设置为`1`启用TCP同步 cookie,防御SYN flood攻击。 - `net.ipv4.tcp_max_syn_backlog`:设置TCP...
linux sysctl参数配置详细介绍
09-15
Linux `sysctl` 是一个非常重要的工具,它允许我们在运行时调整内核参数,而无需重新启动系统。这些参数影响着系统的性能、安全性和网络行为。`sysctl` 参数配置通常在 `/etc/sysctl.conf` 文件中进行,该文件包含了...
cmd操作命令和linux命令大全收集
04-24
3. Nslookup-------IP地址侦测器 ,是一个 监测网络中 DNS 服务器是否能正确实现域名解析的命令行工具。它在 Windows NT/2000/XP 中均可使用,但在 Windows 98 中却没有集成这一个工具。 4. explorer-------打开...
Linux内核的 反向路由检查机制rp_filter
u014644574的博客
04-12 1564
Linux内核的 反向路由检查机制rp_filter
linux内核的反向路由检查机制
jyshappy的博客
05-30 1531
今天遇到一个问题,eth1, eth2 双网卡,都配有IP, 默认网关在eth1 上。 尝试给另一个网卡加上同样的默认网关。 插入之后,发现ens161 无法访问, ens256 可以访问。 删除此条路由,ens161 可以访问,ens256无法访问。 route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10
网络设备的两个结构体net_device和in_device
redwingz的博客
04-11 3153
网络设备初始化函数alloc_netdev_mqs分配一个网络设备结构体net_device,in_device结构体由inetdev_init分配和初始化。struct net_device *alloc_netdev_mqs(...) { struct net_device *p; p = kzalloc(alloc_size, GFP_KERNEL | __GFP_NOWARN |...
Linux文本处理:Grep、Sed
qq_52302132的博客
10-04 1741
grep (global search regular expression(RE) and print out the line,全面搜索正则表达式并把行打印出来)是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹配的行打印出来。用于过滤/搜索的特定字符。可使用正则表达式能配合多种命令使用,使用上十分灵活。sed是一个流编辑器, 非交互式的编辑器,它一次处理一行内容.处理时,把当前处理的行存储在临时缓冲区中,称为“模式空间”(pattern space)
tun虚拟网卡和fib_validate_source的反向过滤
layrong的专栏
05-12 2424
想在用户空间构造一个IP数据包,然后通过写到tun虚拟网卡,通过内核协议栈转发出去。发现数据包能通过pre_routing Hook节点,就是过不了forward Hook。进一步追踪,发现到了fib_validate_source函数就drop掉了。 经过向大牛请教及自己分析,才知道是反向路由过滤的原因。 反向过滤参考 http://blog.csdn.net/layrong/article
企业级负载均衡集群——lvs的TUN模式(隧道模式)详细说明
ymeng9527的博客
07-23 2757
1.TUN模式的工作原理 TUN模式简称隧道模式,隧道模式就是修改请求报文的首部IP,再加一层IP报头 优点:DS和RS不需要在同一网段,可以实现不同网络之间的访问 数据流向如下 数据包从客户端发往DS服务器,DS服务器会根据调度策略确定要把请求给哪台RS,会在数据包外面再加一层IP报头 此时源IP从CIP(172.25.8.250)变为了VIP(DIP172.25.8.100) 目的IP从VIP...
linux如何配置反向路径过滤
最新发布
05-23
反向路径过滤(Reverse Path Filtering,简称RPF)是一种用于防止IP地址欺骗攻击的技术,它可以检查数据包的源地址是否合法。在Linux系统中,可以通过配置内核参数实现RPF。 具体步骤如下: 1. 查看当前系统是否...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值