博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
Netfilter策略路由和uRPF
阅读量:5938 次
发布时间:2019-06-19

本文共 2007 字,大约阅读时间需要 6 分钟。

在Linux中,往往会出现一些奇怪的现象,如果你仅仅知道一些皮毛,那么这些现象将会让你抓耳挠腮,因为Linux往往遵循RFC建议而有时却不会保持持久的大众化实现,毕竟,Linux并不是一个人搞定的,特别是网络协议栈这一方面。uRPF这个概念很多人都知道,Linux的实现却很不一致,在Linux实现中,它和策略路由的点点滴滴值得说一番,我们分为以下4个关键点来说明,当然这4点并不是全部关于uRPF的:

1.策略路由和OUTPUT链

Linux的Netfilter实现5个HOOK点,其中OUTPUT点在路由之后,那么如果我们将如下的路由:

route add -net 192.168.188.0/24 gw 192.168.40.254

移植到策略路由:

ip rule add $标签1 tab new

ip route add 192.168.188.0/24 via 192.168.40.254 table new

route del -net  192.168.188.0/24

iptables -t mangle -A OUTPUT -XXX -j MARK --set-mark $标签1

那么当我们从本机发包到192.168.188.0/24的时候,得到的结果将是“路由不可达”。这是因为Linux的基于标签的策略路由是为“过路包”设计的,在本机发包进入任何Netfilter钩子点之前首先要经过IP路由,也就是说OUTPUT链在IP路由之后,此时任何的打标签策略都还没有被应用,因此就会出现上述的奇怪现象。

2.CONNMARK target和MARK target

在Linux Netfilter中,有CONNMARK和MARK两个target,其作用都是set-mark,那么这两个target有何不同呢?很简单,CONNMARK是为一个“连接”即conntrack打上一个mark,而MARK仅仅是为一个packet打上一个mark,对于CONNMARK,如果想让后续的包或者返回包也被打上mark,不必再进行一次新的iptables规则匹配,只需要restore-mark即可,而对于MARK,则不能这么做,因此它是不依赖ip_conntrack的。

        因此,考虑以下现象:

路由:

ip rule add $标签1 tab new

ip route add 192.168.188.0/24 via 192.168.40.254 table new

route del -net  192.168.188.0/24

iptables规则:

iptables -t mangle -A PREROUTING -i $内网口 -XXX -j MARK --set-mark $标签1

rp_filter配置:

sysctl -w net.ipv4.conf.$所有网卡.rp_filter=1

访问192.168.188.0/24,将发现返回包无法经过网关,为何呢?很简单,rp_filter为1,显然为严格uRPF,此时返回包的反向路由必须被查找到且和策略路由的结果一致,然而策略路由是无法被命中的,因此返回包没有命中任何iptables打标签的规则而没有被打标签,进而不命中策略路由...,如果将iptables中的MARK改为CONNMARK呢?也不行,还缺少一条:

iptables -t mangle -A PREROUTING -j CONNMARK restore-mark

才行,因此请注意,始终将上述规则放在所有规则的靠前的位置且在其后加上RETURN target的规则,可以:第一,免除很多基于mark的iptables规则查找;第二,可以避免由于uRPF而导致的奇怪问题。

3.标签策略路由和NOTRACK target

如果还是出现了奇怪的问题,那么看一下是不是NOTRACK target导致的呢?我们知道raw表是所有规则的最前面的,因此如果在raw表中被NOTRACK了,那么就别指望后面的任何mark规则起作用了,所有的基于mark的策略路由也将无效,更隐蔽的是uRPF验证失败导致的包不可达将很难被发现。

4.路由cache与rp_filter

在IP路由查找的时候,首先要查找路由cache,在Linux的实现中,查找路由cache的过程不涉及任何的uRPF(在ip_route_input_XXX中没有任何fib_validate_source的调用),因此如果系统中有反向包的路由cache,即使你设置了rp_filter为严格uRPF,并且还故意配置NOTRACK以及基于mark的正向包策略路由,那还是可以正常通讯的。

 本文转自 dog250 51CTO博客,原文链接:http://blog.51cto.com/dog250/1268962

转载地址:http://gattx.baihongyu.com/

你可能感兴趣的文章
项目分析_xxoo-master
查看>>
SQLServer2012自增列值跳跃的问题
查看>>
如何写出安全的API接口(参数加密+超时处理+私钥验证+Https)
查看>>
使用SKIP-GRANT-TABLES 解决 MYSQL ROOT密码丢失
查看>>
ViewBag对象的更改
查看>>
算法笔记_098:蓝桥杯练习 算法提高 盾神与条状项链(Java)
查看>>
apache安装mod_ssl.so 出现 undefined symbol: ssl_cmd_SSLPassPhraseDialog错误解决
查看>>
new Function()
查看>>
Vector & ArrayList Hashtable & HashMap ArrayList & LinkedList
查看>>
Android属性动画完全解析(中),ValueAnimator和ObjectAnimator的高级用法
查看>>
Mysql 监视工具
查看>>
hdu1025 Constructing Roads In JGShining's Kingdom(二分+dp)
查看>>
Android PullToRefreshListView和ViewPager的结合使用
查看>>
禅修笔记——硅谷最受欢迎的情商课
查看>>
struts2入门(搭建环境、配置、示例)
查看>>
Caused by: org.apache.ibatis.reflection.ReflectionException我碰到的情况,原因不唯一
查看>>
linux top命令查看内存及多核CPU的使用讲述【转】
查看>>
Linux下golang开发环境搭建
查看>>
jQuery操作input
查看>>
layer弹出信息框API
查看>>