linux开启内部路由转发、关闭ICMP重定向功能

最新推荐文章于 2025-10-29 14:28:12 发布
转载 最新推荐文章于 2025-10-29 14:28:12 发布 · 2.1w 阅读 · 13
文章标签:

#路由转发

本文介绍如何在Linux系统中进行路由转发配置,并详细解释了IPv4与IPv6的不同配置方式。此外还介绍了如何关闭ICMP重定向,确保网络通信的稳定性。

一、开启路由转发

转自http://blog.51cto.com/zouqingyun/1697571

一组内部机器需要连接外网,则需要找一台机器,即可以连接外网,内网机器也可以连接。

因此将这台外网机器当做路由器,做路由转发

1、在需要做路由转发的机器上执行下面命令

1

 [root@shx ~]# echo 1 > /proc/sys/net/ipv4/ip_forward

若是ipv6则执行

echo 1 > /proc/sys/net/ipv6/conf/all/forwarding

但一般不建议,下次开机它又会变为0

修改它的配置文件,把net.ipv4.ip_forward = 1

1

2

3

4

5

6

7

8

9

[root@shx-web150 ~]# vim /etc/sysctl.conf

# Kernel sysctl configuration file for Red Hat Linux

#

# For binary values, 0 is disabled, 1 is enabled.  See sysctl(8) and

# sysctl.conf(5for more details.

# Controls IP packet forwarding

net.ipv4.ip_forward = 1

# Controls source route verification

net.ipv4.conf.default.rp_filter = 1

若是ipv6,则添加net.ipv6.conf.all.forwarding=1 配置项的值

让它立即生效,就执行

1

[root@shx-web150 ~]# sysctl -p

2、紧接着我就把内网机器网关指向A的内网IP地址,结果,还是不能连接到外网,纠结许久。后面想到,才想起要在A做一个NAT转发

1

[root@shx-web150 ~]#iptables -t nat -A POSTROUTING -s 10.1.2.0/24 -j MASQUERADE

若是ipv6,则使用ip6tables

可参考https://blog.youkuaiyun.com/hcancientmoon/article/details/40158969 

ipv6相关信息可参考https://www.cnblogs.com/xiangxisheng/p/6415568.html

二、关闭ICMP重定向

ipv4:

# 关闭 icmp 的重定向

echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects

echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects

ipv6:

echo 0 > /proc/sys/net/ipv6/conf/all/accept_redirects

echo 0 > /proc/sys/net/ipv6/conf/default/accept_redirects

echo 0 > /proc/sys/net/ipv6/conf/eth0/accept_redirects

linux内核相关可参考:https://blog.youkuaiyun.com/l0605020112/article/details/42837093?locationNum=7&fps=1

 

永久生效(未验证):

ipv4:

# vim /etc/sysctl.conf
net.ipv4.conf.eth0.send_redirects= 0
net.ipv4.conf.eth1.send_redirects= 0
net.ipv4.conf.lo.send_redirects= 0
net.ipv4.conf.default.send_redirects= 0
net.ipv4.conf.all.send_redirects= 0

或者是accept_redirects 。

ipv6:

# vim /etc/sysctl.conf
net.ipv4.conf.eth0.accept_redirects= 0
net.ipv4.conf.eth1.accept_redirects= 0
net.ipv4.conf.lo.accept_redirects= 0
net.ipv4.conf.default.accept_redirects= 0
net.ipv4.conf.all.accept_redirects= 0

参考:https://blog.youkuaiyun.com/u010391029/article/details/46441811

 

疑问:accept_redirects和send_redirects的区别。

为什么v6里面只有accept_redirects,而v4里面两者都有,两者作用分别是什么。

『网络协议攻防实验』ICMP重定向攻击和防御
Ho1aAs‘s Blog
07-26 4617
前言 靶机:seedubuntu 12.01,IP:192.168.199.136 攻击机:Kali-2020.4,IP:192.168.199.129 工具:netwox 原理 ICMP路由重定向攻击(ICMP Redirect Attack)是指攻击者伪装成路由器发送虚假的ICMP路由路径控制报文,使得受害主机选择攻击者指定的路由路径,从而进行嗅探或假冒攻击的一种技术。 ICMP重定向攻击 确认靶机seedubuntu的路由表 route -C -n 可以看到都正确指向了网关192.168.199
ICMP协议和ICMP重定向攻击
柒烨~的博客
01-18 1272
ICMP协议ICMP(internetcontrolMessagesprotocol)internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机,路由器之间传递控制消息。控制消息是指网络不通,主机是否可达,路由是否可用等网络本身的消息。ICMP报文格式ICMP报文含在IP数据报中,IP报文就在ICMP报文的前面。
linux 去除icmp重定向
12-05 6667
ICMP重定向报文的接收者必须查看三个IP 地址1). 导致重定向的IP地址,即ICMP重定向报文的数据位于IP数据报的首部2). 发送重定向报文的路由器的IP地址,包含重定向信息的IP数据报中的源地址3). 应该采用的路由器IP地址, 在ICMP报文中的4~7字节发生ICMP重定向报文的必要条件:1). 出接口必须等于入接口2). 用于向外传送数据报的路由不能被ICMP重定向报文创建或修改过,
linux 操作系统关闭ICMP(禁ping)
最新发布
Hu_wen的专栏
10-29 393
摘要:在Linux系统中关闭ICMP回应功能有两种方法:(1)修改内核参数,可通过临时命令或永久修改/etc/sysctl.conf文件实现;(2)配置防火墙规则,使用iptables或firewalld阻止ICMP请求。关闭ICMP回应能增强安全性但会影响网络诊断,修改后需注意保存设置以确保重启后依旧生效,同时应评估防火墙规则对网络连接的影响。
linux禁止icmp重定向,ICMP重定向报文导致的问题与分析
weixin_42503223的博客
05-14 2000
前段时间, 业务方反馈集群内有一台服务器慢请求(>1s)记录比其他台多一倍。查找了下原因,发现这台服务器的网关配置成同网段内其他服务器IP上了,导致ICMP重定向发生,后面将路由更正后,慢请求缓解很多了。 便于分析,画了个简单拓扑图如下所示:过程分析如下:1). server2如果要与internet通讯,首先是要把报文发送给server1的,因为server2的网关指向server1的。2...
linux 停止路由转发策略_linux开启内部路由转发关闭ICMP重定向功能
weixin_39685674的博客
12-21 1587
一、开启路由转发转自http://blog.51cto.com/zouqingyun/1697571一组内部机器需要连接外网,则需要找一台机器,即可以连接外网,内网机器也可以连接。因此将这台外网机器当做路由器,做路由转发1、在需要做路由转发的机器上执行下面命令1[root@shx ~]# echo 1 > /proc/sys/net/ipv4/ip_forward若是ipv6则执行echo ...
linux关闭网络重定向,如何关闭linux系统中的覆盖输出重定向(>)功能
weixin_28730037的博客
05-04 683
一、问题描述我们在进行文件操作时经常会用到覆盖输出重定向(>),追加输出重定向(>>),很明显的看出两种输出重定向的符号相差不是很大,但是两种的意义却又很大的差别:前者是会覆盖文件的内容的,而后者并不会覆盖文件的内容!我们在使用追加输出重定向时极有可能由于自己的不小心而使用覆盖重定向,从而导致文件内容的丢失,但是linux系统还是可以解决这种问题的。二、问题演示[root@hpf...
第二章,第二节-ICMP协议,ICMP重定向ICMP泛洪攻击
2302_78999016的博客
12-19 1568
TTL字段的意思是此帧数据可经过的最大节点数,每经过一个节点,TTL的值都会减1,直到为0,TTL值为0时,便会向原主机发送一个差错报告的ICMP报文,利用这个原理,我们就可以知道从原主机到目标主机中间经历了哪几个网关的转发以及这些网关的IP地址都是多少。原理:当一个主机收到icmp重定向信息时就会根据这个信息来更新自己的路由表,由于缺乏必要的合理性检查,黑客如果想要被攻击的受害机修改它的路由表,就可以发送icmp重定向信息给受害机,让受害机按照自己的需求来修改路由表,从而完成进一步攻击。
ICMP重定向攻击
weixin_51086098的博客
09-21 6392
ICMP重定向攻击-netwox使用
icmp重定向攻击实验
bunner_的博客
12-27 3251
使用netwox测验 实验环境: 攻击机:kali linux 192.168.181.129 靶机:ubuntu20.04 192.168.181.131 默认网关:192.168.181.2 1、安装必要工具 # 安装 ifconfig 等网络命令 $ sudo apt-get install net-tools # 安装 traceroute $ sudo apt-get install traceroute # 安装 netwox 工具, 攻击机需要 $ sudo apt-get install
关闭LinuxICMP
kepa520的博客
07-25 1905
暂时性: echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 永久性: vi /etc/sysctl.conf 增加: net.ipv4.icmp_echo_ignore_all = 1 保存后执行sysctl -p
ICMP重定向问题的解决
weixin_33981932的博客
07-21 665
这里跟大家分享一个case中遇到的问题。 某公安厅客户一直在采用A10负载均衡设备对服务器实现流量均衡,但最近突然访问不正常:客户端偶尔能打开登录界面,点击登录键后出现白页,或登录后点击页面链接出现白页。 负载均衡设备采用旁路部署模式,与服务器配置在同一网段的IP,服务器网关指向负载均衡器的接口地址,而负载均衡器的网关指向同一网段的路由器接口地址。之前正...
Linux ICMP重定向
指点江山
12-21 629
net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.lo.accept_redirects = 0 net.ipv4.conf.eth0.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 设为1为启用ICMP重定向 windows系统 HKEY_LOCAL...
检查是否禁止icmp重定向
weixin_44800629的博客
09-20 1221
判定条件:sysctl -n net.ipv4.conf.all.accept_redirects返回结果为0,符合安全要求,否则低于安全要求。
linux icmp 重定向,icmp重定向
weixin_42567497的博客
05-14 467
icmp虽然不是路由协议,但是有时它也可以指导数据包的流向(使数据流向正确的网关)?icmp协议通过icmp重定向数据包(类型5?代码0:网络重定向)达到这个目的?图3icmp重定向如图3所示,主机PC要ping路由器R2的loopback 0地址:192.168.3.1,主机将判断出目标属于不同的网段,因此它要将icmp请求包发往自己的默认网关192.168.1.253(路由器R1的E0接口)?...
请问linux操作系统下怎么关闭icmp,Linux 开启关闭Ping的操作方法
weixin_42469000的博客
04-29 2391
我们做网站的站长,经常接触服务器的运维,现在用PHP程序的比较多,自然用linux(centos)的也多,Linux 默认是开启 ping 操作的,通过以下两种方式可以开启关闭 ping 操作 。关闭服务器上的ping可以在一定程度上在互联网上隐藏自己,防止一些批量扫描软件探测主机,减少被入侵的几率。1、修改内核参数通过内核参数设置也有两种方式,一种是临时修改,一种是永久修改。1.1 临时设置 ...
Linux服务器关闭/开启ICMP协议(ping)
qq_41622002的博客
12-26 4165
参照网站:https://blog.51cto.com/wenjia111/2058950 经常会遇到一些问题就是主机明明是在线的却ping不通的,对方可能开启了禁ping模式 有时为安全问题着想,需要给我们的Linux服务器禁ping 关闭ICMP协议(禁ping) echo “1”>/proc/sys/net/ipv4/icmp_echo_ignore_all cat /proc/sys...
嵌入式 Linux下怎么设置禁止别人PING我的IP(ICMP报文)
skdkjxy的专栏
08-14 1560
Linux下怎么设置禁止别人PING我的IP
linux关闭网络重定向,Linux Centos7禁止转发ICMP重定向报文
weixin_29482557的博客
05-04 2289
加固建议: 在 /etc/sysctl.conf 或 /etc/sysctl.d/* 文件中设置以下参数:net.ipv4.conf.all.send_redirects = 0net.ipv4.conf.default.send_redirects = 0运行以下命令来设置活动的内核参数:$ sysctl -w net.ipv4.conf.all.send_redirects=0$ sysctl...
icmp路由重定向
05-13
<think>好的,我现在要帮用户解答关于ICMP路由重定向的工作原理、配置和解决方案的问题。首先,我需要回顾一下自己对这个主题的了解,确保信息准确。ICMP路由重定向是当路由器发现主机使用的不是最优路径时,发送ICMP重定向报文告知主机更佳的路由。这个过程有助于优化网络流量,但也可能带来安全风险,比如攻击者伪造重定向报文导致流量被截获。 接下来,我需要结合用户提供的引用内容。引用[1]提到了一个实验,验证重定向对数据转发的影响,以及关闭后的效果。引用[2]则讨论了策略路由中结合NQA测试例来实现动态重定向。这些引用中的信息可以帮助我举例说明配置方法和实际应用场景。 用户的问题包括工作原理、配置步骤、常见问题解决方案,以及相关应用场景。需要结构清晰,分点回答。首先解释工作原理,然后配置方法,接着常见问题及处理,最后应用场景。同时,用户要求生成相关问题,我需要考虑哪些问题可能对用户有帮助,比如安全风险、配置命令、与策略路由的区别等。 需要注意的是,用户可能是在学习网络配置或者备考相关认证,因此需要详细但不过于技术化的解释。同时,确保使用中文,LaTeX格式正确,数学表达式用$...$,独立公式用$$...$$。不过当前内容中可能数学公式不多,但如果有的话需要正确应用。 在回答中,要引用用户提供的引用内容,比如在配置步骤中提到关闭重定向功能的命令,或应用场景中结合NQA联动的情况。需要自然地添加引用标识,如[^1][^2]。 最后,检查是否覆盖了所有用户需求:工作原理、配置、解决方案、应用场景,以及相关问题是否相关。确保语言口语化,避免使用专业术语过多,必要时举例说明。</think>### ICMP路由重定向工作原理与配置详解 #### 一、工作原理 ICMP路由重定向路由器向源主机发送的一种控制报文(Type=5, Code=0-3),用于通知主机**更优的下一跳路径**[^1]。其触发条件为: 1. 路由器收到数据包的接口与转发出口为**同一物理接口** 2. 数据包的源IP与最优路径下一跳IP属于**同一网段** 例如当主机A默认网关为R1,但发送到目标B的数据经过R1转发时,R1发现最佳路径应通过R2,则会发送重定向报文告知主机A后续直接发往R2的IP地址。 #### 二、配置方法 以华为/H3C设备为例: ```bash # 查看重定向状态 display icmp redirect # 开启/关闭接口重定向功能(默认开启) interface GigabitEthernet0/0/1 icmp redirect send enable # 华为 undo ip redirects # H3C ``` #### 三、常见问题解决方案 | 问题现象 | 排查步骤 | 解决方案 | |---------|---------|---------| | 主机未响应重定向 | 1. 检查主机ICMP处理配置<br>2. 抓包验证路由器是否发送报文 | 主机需启用ICMP重定向接收功能Linux: `sysctl -w net.ipv4.conf.all.accept_redirects=1`)| | 网络环路风险 | 1. 检查路由表收敛状态<br>2. 验证重定向路径可达性 | 配置NQA联动检测路径有效性[^2] | | 安全攻击风险 | 1. 分析可疑重定向源<br>2. 检查路由认证配置 | 关闭非必要接口的重定向功能 | #### 四、典型应用场景 1. **企业网多出口优化**:当分支机构存在多条出口链路时,通过重定向动态调整流量路径 2. **SDN网络调度**:结合控制器实现集中式路径优化(如最短时延路径选择) 3. **故障切换**:配合BFD/NQA实现毫秒级故障检测与路径切换[^2] $$ \text{重定向决策公式:} \quad \text{if } \exists R_j \text{ s.t. } \text{Cost}(R_i \rightarrow R_j \rightarrow D) < \text{Cost}(R_i \rightarrow D) \text{ then send Redirect} $$
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值