测试山石防火墙 接口中 逆向路由 设置与urpf是否有关

最新推荐文章于 2023-11-13 14:17:33 发布
最新推荐文章于 2023-11-13 14:17:33 发布
阅读量5.1k 收藏 2
点赞数 3
分类专栏: 干体力活 迷糊地
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanzc1/article/details/109464535
版权

测试山石防火墙 接口中 逆向路由 设置与urpf是否有关

对于山石防火墙接口上的 "逆向路由"设置一直不理解.
问了几次,专业回复都说是 这是"会话保持"功能. 与"urpf"功能无关.
个人总是感觉有些怀疑.今天我来用虚拟机测试一下.

防火墙使用的是
SG6000-CloudEdge-5.5R4P21-VM01.qcow2

  • 所有测试只判断去向数据包的处理结果.
    如果被drop就说明不转发.
    如果建立了session就说它是转发.
    没有讨论反向回来数据的转发情况.

设备连接结构
(192.168.200.2/24 linux pc 192.168.1.254/24) - (192.168.1.1/24 Hillstone FW 192.168.2.1/24)-虚拟机网卡up但没连接任何设备.

linux pc 设置路由. 到192.168.2.8经过 192.168.1.1

#ip route show
192.168.2.0/24 via 192.168.1.1 dev tap1a

pc执行的测试命令为. 发个tcp dstip 192.168.2.8 dport 23 srcip 192.168.200.2
#hping3 --scan 23 -S 192.168.2.8 -a 192.168.200.2

防火墙设置.
interface ethernet0/0 local
zone “trust”
ip address 192.168.1.1 255.255.255.0
manage ssh
manage ping
manage snmp
manage https
exit
interface ethernet0/1
zone “trust”
ip address 192.168.2.1 255.255.255.0
manage ssh
manage ping
manage https
exit

rule id 1
action permit
src-zone “Any”
dst-zone “Any”
src-addr “Any”
dst-addr “Any”
service “Any”
name “any”
exit

C>* 192.168.1.0/24 is directly connected, ethernet0/0
H>* 192.168.1.1/32 [0/0/1] is local address, ethernet0/0
C>* 192.168.2.0/24 is directly connected, ethernet0/1
H>* 192.168.2.1/32 [0/0/1] is local address, ethernet0/1

测试1
源目标接口在相同安全域下(trust). 接口开启"逆向路由"设置时debug

结论: 路由表中无源ip的路由信息. 开启"逆向路由"设置. 不转发.

SG-6000(config)# show logging debug
2020-11-03 09:21:50, DEBUG@FLOW: core 1 (sys up 0x2c5073 ms): rx_handle_prepare: 529d.0f82.509d->5254.0001.0a01, size 54, type 0x800, vid 0, port ethernet0/0
dp_prepare_if_for_pak
Switchid is 30(interface ethernet0/0) port ethernet0/0 ,pak iif=ethernet0/0
Not from apm packet, return.
Not ha apm heart beat message.
rx_handle_prepare i_if is ethernet0/0
Start l3 forward
Packet: 192.168.200.2 -> 192.168.2.8, id: 24162, ip size 40, prot: 6(TCP): 1805 -> 23
ad_vector_for_fast_flow: zonename trust, proto_flag[1] 0, proto 6
dp_prepare_pak_lookup srcip: 192.168.200.2, dstip: 192.168.2.8, src-port:1805, dst-port:23, prot 6
No session found, try to create session
dp_first_crt_sess_init_flow0_from_pak_iif: set cpuid 0
-----------------First path creating new session-----------------
dp_sess_sm_transtion: Do session state machine transtion, id 293, state: 0, event: 0!
allocate pending session and install flow0
begin lookup predefine prot:6 port:23
Identified as app TELNET (prot=6). timeout 1800.
-----

最低0.47元/天 解锁文章
塞子
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
逆向路由
weixin_34395205的博客
11-14 3929
逆向路由可以理解成设备回包的时候将访问过来的源ip当做目的地址然后查找设备上的路由表决定从哪个接口回包。 关闭逆向路由的意思就是通常理解的数据从哪个接口过来的,回包的时候就从哪个接口回包,没有反向路由查询的过程 假设防火墙接口1的IP地址为202.0.0.1/30,接口2的IP地址为61.0.0.1/30 ,接口3的IP地址为219.1.1.1/30...
山石防火墙SW-TD-IK-逆向路由原理解释
01-12
Hillstone安全网关逆向路由,这个功能默认是自动的,但很多时候不是这样设置,所以有时候会引一些什么问题,有兴趣了解下什么是逆向路由的朋友可以下载参考下
Hillstone-路由配置指南
08-06
Hillstone-路由配置指南。很好的一款手册。
linux 反向路由开关,防火墙逆向路由路由器的反向接口策略路由
weixin_35773019的博客
05-14 744
逆向路由:如果启用,则向外转发数据包时需查询路由表如果禁用,则向外转发数据包不查路由表,而根据会话信息实现数据包从哪里来,就从哪里出去。​接口逆向路由 影响到 运营商(联通)链路设备的连通!假设防火墙接口1的IP地址为202.0.0.1/30,接口2的IP地址为61.0.0.1/30 ,接口3的IP地址为219.1.1.1/30有一条路由为 210.0.0.0/8 next-hop 61.0....
反向路由
谭明骏编程
05-15 2521
反向路由是CakePHP的特性,用于允许您轻松地更改你的URL结构而不需要修改所有的代码。通过使用路由数组定义您的url,您可以稍后配置路线和生成的url将自动更新。 如果你使用字符串创建url: $this->Html->link('View', '/posts/view/' + $id); 然后决定/职位应该被称为“文章”相反,你会经历整个应用程序重命名的url。然而,如果你定义你的链接
山石防火墙 SG-6000-G2120
11-17
新一代安全网关SG-6000-G2120,可以参考看看内容.....
拒绝服务攻击与单播逆向路由.pdf
10-18
概述:本文讲述了拒绝服务攻击(DoS)与单播逆向路由URPF)的实验准备、实验目的、实验拓扑、实验过程、入侵实战和防范策略等方面的知识点。 一、实验准备 在进行拒绝服务攻击与单播逆向路由实验之前,需要准备...
urpf原理与实现
06-08
urpf原理与配置,包括严格urpf,松散urpf和忽略缺省路由urpf
IPv4与IPv6业务-URPF技术介绍.pdf
10-15
URPF通过检查数据包的源IP地址是否路由器的转发信息表(FIB)的反向路径匹配,来确定数据包的合法性。 URPF有两个主要的检查模式:严格(strict)和松散(loose)。在严格模式下,路由器会查找源IP地址对应的...
IPv4与IPv6业务-URPF技术介绍-D.docx
10-24
在严格模式下,路由器会检查数据包的源IP地址是否存在于FIB(Forwarding Information Base,转发信息库)表,并且通过反向查找,确认这个源IP地址对应的路由出口包含报文的入口接口。如果找不到匹配的出接口,...
数通技术安全篇—URPF详解.doc
08-25
URPF 的工作原理是通过获取报文的源地址和入接口,在 FIB 表查找源地址对应的接口是否与入接口匹配。如果不匹配,则认为源地址是伪装的,丢弃该报文。 URPF 的工作模式可以防范网络通过修改源地址而进行的恶意...
山石网科-Hillstone-路由模式的IPSEC-***之配置终结篇
weixin_34306446的博客
07-29 2865
首先,当然第一件事情,是要理清思路了,这一点对一个工程师来讲是必须且非常重要的一步。第一步,新建IPsec-***。第二步,配置第一阶段相关参数。(高级可选参数,DPD对端存活检测/NAT穿越都可以勾选上,这个不是协商参数)第三步,配置第二阶段相关参数。注意(如果俩端都是山石设备,即可以不用配置代理ID,选择自动即可,若不是,请填写代理ID。PS:代理ID只是协商让IPsec...
逆向路由器固件之解包 Part1
weixin_34060741的博客
08-26 809
这个系列的文章以逆向路由器固件的方式来挖掘路由存在的漏洞。 本篇文章主要以介绍解包固件工具为主。文演示用的固件可以在这里下载。由于针对设备的攻击越来越多,很多厂商把不提供固件下载作为一种安全策略。所以有些时候只能通过物理的方式从设备导出固件。后续的文章会介绍相关技术。 通用的linux RE工具 file— 用来检测是否是有效的文件和文件类型...
任务七:拒绝服务攻击与单播逆向路由转发
2301_76274559的博客
11-13 614
拒绝服务攻击与单播逆向路由转发
HillStone 做多NAT 使用不同的网络带宽出口
weixin_34018202的博客
11-05 808
1、创建端口聚合,为保证端口冗余。使用LACP。并将相关端口划入聚合组内。规划agg1为LAN(连接客户),agg2为WAN(连接多个带宽)。config interface aggregate1 lacp enableinterface aggregate2 lacp enableinterface xethernet4/0 aggregate aggregate1...
关于flask路由命名与reverse反解析(逆向)的简单说明
jingzhunbiancheng的博客
07-05 537
    直接举例,简单粗暴。一、根级路由:url(r"^users/", include("users.urls", namespace="users"))二、子应用:url(r"^say",view.say, name="say")三、视图:def say(request): url = reverse("users:say") return HttpResponse(u
技术分享:逆向破解华为路由器第一部分
weixin_34146805的博客
04-16 339
写在前面的话 下面将会介绍逆向一个路由器的过程,准确的说是一台华为 HG533路由器。 本文仅代表原文作者意图,同时文章介绍的工具、技术带有一定的攻击性,请合理合法使用。 正文 前面的思路也比较简单就是寻找串口,而这个串口也是预留性质的一个串口,主要是为了后期调试以及升级设备时使用。而对于路由器你可以看做是一个小型的嵌入式设备,从打印机到智能相机都可...
拒绝服务攻击与单播逆向路由转发
最新发布
qq_49485327的博客
11-13 540
Win ENSP。
山石防火墙命令查看配置_山石防火墙网络配置
weixin_39583029的博客
12-20 4455
1、两个公网IP,AB局域网带宽各自使用自己的带宽2、AB局域网,不同IP段3、AB局域网可以相互访问4、AB局域网指定各自的规则5、AB局域网使用同一个网关1、配置IPA局域内外网接口第一个接口为ethernet0/0,公网IP:1.1.1.1/28,第二个接口为ethernet0/1,内网IP:192.168.1.1/24,B局域内外网接口第三个接口为ethernet0/2,公网IP:2.2....
解释下通讯领域urpf功能
06-10
2. 严格模式:路由器不仅检查数据包的源IP地址是否属于其路由的某个接口,还检查数据包的反向路径是否路由表一致。如果不一致则丢弃数据包。 URPF功能可以有效地防止IP地址伪造,提高网络的安全性。但是,它...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值