内核参数rp_filter 校验数据包源地址

最新推荐文章于 2024-02-01 12:40:15 发布
最新推荐文章于 2024-02-01 12:40:15 发布
阅读量1.5k 收藏 4
点赞数
CC 4.0 BY-SA版权
文章标签: linux linux 命令 linux 常用命令 每周一个linux命令
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bigdatafreedom/article/details/120793815
rp_filter是Linux内核中用于防止IP源地址欺骗的机制。当设置为1时,它会检查流入数据包的源IP是否通过同一网卡可达,否则将丢弃。设置为2时,源IP只需通过任何网卡可达即可。默认值为0,但可能被其他脚本修改。要启用该功能,需在/etc/sysctl.conf中设置net.ipv4.conf.all.rp_filter=1,并执行sysctl -p使其生效。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

rp_filter作用

校验数据包源地址是否可达

rp_filter 值说明

0: 关闭rp_filter检测功能,数据包经网卡eth1流入,不管源IP是否可达,都不会丢弃

1:数据包经网卡eth1流入,通过检测发现源IP可以通过eth1可达,数据包放行,如果源IP不能通过eth1可达,则丢弃当前数据包

2:数据包经网卡eth1流入,只要源IP通过路由可达即可,未必非得是当前eth1网卡,其他网卡也可以,如果源IP通过所有的网卡,都不可达,则丢失数据包。

注意:此值默认为0,但其他脚本会修改此值。

toOQfl

设置内核参数 rp_filter

  1. 编辑/etc/sysctl.conf 配置文件
  2. 在文件结尾追加net.ipv4.conf.all.rp_filter =1
  3. 执行命令sysctl -p 生效

原文链接

【网络】Linux 内核优化实战 - net.ipv4.conf.all.rp_filter
cuiwin的专栏
07-01 565
Linux 网络安全的重要防线,通过合理配置可有效防范 IP 欺骗,同时需根据网络实际拓扑(如是否存在 NAT、多路径路由)调整策略模式,在安全性和网络连通性之间取得平衡。生产环境中建议优先使用严格模式(值为1),并结合具体场景优化配置。
Greenplum Cluster【部署 01】局域网 CentOS 7.9.2009 环境 GreenPlum 6.13.0 集群规划+配置+安装+内核参数调整(应用实例分享)
Java与大数据相关实践内容分享!
03-31 1660
Greenplum 局域网集群搭建 CentOS 7.9.2009 环境 GreenPlum 6.13.0 集群规划+配置+安装+内核参数调整(应用实例分享)(20220416更新)
linux 多播网卡设置,rp_filterLinux下多网卡接收多播的问题
weixin_33560311的博客
05-01 1401
工作中曾遇到一个很奇怪的问题,我奉命调查。事情是这样的,有一台双网卡的机器,上面装有Fedora8,运行一个程序。该程序分别在两个网口上都接收多播数据,程序运行是正常的。但是,后来升级系统到Fedora13,发现就出问题了:在运行几秒钟后,第2个网口上就接收不到多播数据了。能不能收到多播,取决于交换机是不是往这个网口上转发多播数据。程序在起动的时候,会发一个IGMP的AddMembership的消...
Linuxrp_filter与策略路由
系统运维
09-05 386
Linuxrp_filter用于实现反向过滤技术,也即uRPF,它验证反向数据包的流向,以避免伪装IP攻击,但是它和Linux的策略路由却很容易发生冲突,其本质原因在于,uRPF技术强制规定了一个反向包的“方向”,而实际的路由是没有方向的。策略路由并没有错,错就错在uRPF增加了一个路由概念本身并没有且从不考虑的约束。典型的例子如下。0.基本环境内网口:eth0外网口1:eth1外网口2:eth...
.net 读蓝牙数据_理解 net.ipv4.conf.all.rp_filter
weixin_39970855的博客
12-23 840
Comzyh:一些坑了我的 Linux 内核网络参数​zhuanlan.zhihu.com前面文章提到了,rp_filter 本身会过滤反向路由不通的数据包。用通俗的话解释一下,就是NIC1 有 incoming 数据包,Reverse Path Filtering 模块会将数据包源地址和目的地址(srcIP->dstIP)调转过来成为(dstIP->srcIP),然后在路由表中查找...
Linux内核参数rp_filter
weixin_30667649的博客
08-29 641
一、rp_filter参数介绍 rp_filter参数用于控制系统是否开启对数据包源地址校验。 首先看一下Linux内核文档documentation/networking/ip-sysctl.txt中的描述: rp_filter - INTEGER 0 - No source validation. 1 - Strict mode as defined in RFC3704 Str...
sysctl.conf 配置详解(待补充)
醉世老翁的博客
02-09 2723
配置内核参数的两种方法: 临时配置 : echo 1 > /proc/sys/kernel/core_uses_pid 永久配置:vi /etc/sysct.conf 添加: kernel.core_uses_pid = 1 net.ipv4.icmp_echo_ignore_all=1 #是否开启忽略ping,1=是,0=否 net.ipv4.ip_forward = 1 #是否开启ip转发, 1 = 是 , 0 = 否 net.ipv4.icmp_ignore_bogus_..
Greenplum【部署 05】GP最新版本v6.20.3安装配置验证(内核参数+初始化参数说明)
Java与大数据相关实践内容分享!
04-22 1671
Greenplum【环境搭建 05】GP最新版本v6.20.3配置安装验证(内核参数+初始化参数说明)
liunx内核配置说明/etc/sysctl.conf
zxljsbk的博客
04-10 1万+
配置信息: [root@icdb ~]# cat /etc/sysctl.conf kernel.sysrq = 0 ------------------是否启用kernel.sysrq(在大多数服务已无法 响应的情况下,还能通过按键组合来完成一系列 ...
LVS负载均衡——TUN隧道模式
AmourHaiti的博客
09-17 390
以下实验的实操都是在redhat7.3上 当不轮询时,解决办法:修改内核参数 VS/TUN的体系结构如图所示,各个服务器将VIP地址配置在自己的IP隧道设备上。 LVSTUN(隧道模式): client -> VS ->RS ->client 一、VS/TUN模式的工作原理:(不考虑是否在同一个网段) IP隧道技术又称为IP封装技术,它可以将带有源和目标IP地址的数据报文使...
sysctl.conf文件参数rp_filter
热门推荐
spring_ap的博客
11-25 1万+
系统:Centos6 影响: 路径:/etc/sysctl.conf rp_filter - INTEGER         0 - No source validation.        1 - Strict mode as defined in RFC3704 Strict Reverse Path            Each incoming packet is te
rp_filter
05-18 4531
The rp_filter can reject incoming packets if theirsource address doesn’t match the network interface that they’rearriving on, which helps to prevent IP spoofing. Turning this on,however, has i
Linux内核参数 rp_filter
最新发布
shijin741231的博客
02-01 699
rp_filter (Reverse Path Filtering)参数定义了网卡对接收到的数据包进行反向路由验证的规则。0:关闭反向路由校验1:开启严格的反向路由校验。对每个进来的数据包校验其反向路由是否是最佳路由。如果反向路由不是最佳路由,则直接丢弃该数据包。2:开启松散的反向路由校验。对每个进来的数据包校验源地址是否可达,即反向路由是否能通(通过任意网口),如果反向路径不通,则直接丢弃该数据包
calico报错Calico requires net.ipv4.conf.all.rp_filter to be set to 0 or 1
minghai
09-18 737
网上的文章都是介绍,在 k8s 中部署时的解决方案:如下 calico报错Calico requires net.ipv4.conf.all.rp_filter to be set to 0 or 1 calico报错: int_dataplane.go 1018: Kernel's RPF check is set to 'loose'. This would allow endpoints to spoof their IP address. Calico requires net.ipv4.conf
通过设置内核参数rp_filter解决linux第二块网卡无法跨网络访问的问题
qd89zzx的博客
12-25 1324
当test-single-lan2 ping 192.168.30.22时,tcpdump icmp包看了一下,发现只有请求的包,test-dual-vpc没有给响应。问题差不多明了了,当test-single-lan2 ping 192.168.30.22时,接收请求的网卡是eth1,而根据默认路由需要经过eth0发响应报文。从上面的配置直观来看,test-single-lan2这台虚机无论与test-dual-vpc的任意一块网卡交互,应该都是联通的。同在30网段的机器,就是通过eth1发出去的。
/etc/sysctl.conf之rp_filter参数
weixin_43359093的博客
12-15 4175
阿里云负载均衡有些服务器访问不到造成的问题,解决方法: 看/etc/sysctl.conf 文件中是否有包含以下3行参数 : net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0 #eth0为内网端口 手动添加后执行sysctl -p 使参生效。 原理: rp_filter参数用于控制系统是否开启对数据包源地址校验rp_filter参数有三个值,0、
反向过滤技术rpfilter
mueryidao的专栏
08-07 3896
项目中有一个操作是  echo "+ make sure the rp_filter is disabled on br0" for i in `find /proc/sys/net -name rp_filter`; do echo 0 > $i done
反向过滤--rp_filter
yunlianglinfeng的专栏
08-22 5973
一、原理 先介绍个非对称路由的概念 参考《Understanding Linux Network Internals》三十章, 30.2. Essential Elements of Routing Symmetric routes and asymmetric routes Usually, the route taken from Host A to Host B is the sa
Linux内核的 反向路由检查机制rp_filter
u014644574的博客
04-12 2522
Linux内核的 反向路由检查机制rp_filter
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

bigdatafreedom

你的鼓励奖是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值