Linux的rp_filter用于实现反向过滤技术,也即uRPF,它验证反向数据包的流向,以避免伪装IP攻击,但是它和Linux的策略路由却很容易发生冲突,其本质原因在于,uRPF技术强制规定了一个反向包的“方向”,而实际的路由是没有方向的.策略路由并没有错,错就错在uRPF增加了一个路由概念本身并没有且从不考虑的约束.典型的例子如下.0.基本环境内网口:eth0外网口1:eth1外网口2:eth21.配置一个内网服务器到外网返回包的策略路由ip rule add fwmark 100 iif…

早期在管理Linux系统的网络时,常使用ifconfig及route之类的命令,不过如果你准备开始使用Linux强大的基于策略的路由机制,那么,就请不要使用这类工具了,因为这类工具根本无法用于功能强大的基于策略的路由机制,取而代之的工具是iproute.iproute这个软件在RedHat系列的Linux系统中是默认安装的,因此,你通常可以找到这个工具.如果真因为某些原因找不到这个软件,只要在使用Fedora或CentOS Linux时,在联网的情况下,用yum install iproute命…

linux驱动开发总结(一) 基础性总结 1, linux驱动一般分为3大类: * 字符设备 * 块设备 * 网络设备 2, 开发环境构建: * 交叉工具链构建 * NFS和tftp服务器安装 3, 驱动开发中设计到的硬件: * 数字电路知识 * ARM硬件知识 * 熟练使用万用表和示波器 * 看懂芯片手册和原理图 4, linux内核源代码目录结构: * arch/: arch子目录包括了所有和体系结构相关的核心代码.它的每一个子目录都代表一种支持的体系结构,例如i386就是关于intel c…

linux 高级路由 策略路由(mangle表) lartc(linux advanced routing and traffic control) http://www.lartc.org # rpm -qa |grep iproute --iproute工具包软件 iproute-3.10.0-74.el7.x86_64 ip命令就属于iproute软件包 ip addr ip neigh ip rule ip route ip tunnel ========================…

http://lwfs.net/2005/11/28/10/ #!/bin/bash IP0= IP1= GW0= GW1= NET0= NET1= DEV0=eth0 DEV1=eth1 # comment the next two line after first run this script. echo 200 cernet >>/etc/iproute2/rt_tables echo 210 chinanet >>/etc/iproute2/rt_tables ip ro…

--   基于状态的iptables   如果按照tcp/ip来划分连接状态,有12种之多 但iptables里只有4种状态:ESTABLISHED.NEW.RELATED及INVALID   这两个分类是两个不相干的定义.例如在TCP/IP标准描述下UDP及ICMP数据包是没有连接状态的,但在state模块的描述下,任何数据包都有连接状态.                      new(第一次) |      |-------------------->|      | |      |…

一.LVS-IP TUN集群概述 DR方式是通过MAC,规模是一个交换网络.而TUN方式,是通过给数据包加上新的IP头部来实现,这个可以跨整个广域网.TUN模式可以解决DR模式下不能跨网段的问题,甚至可以跨公网进行 如图: 异地机房的好处: 容灾 但是是否可以保证 边界 最近访问到对应的real server呢? 不能,这是最大的问题 DNS view功能实现 边界最近访问.  智能DNS   大家nslookup www.baidu.com   每个人地方的ip都是不一样的 二.实战:配置LV…

Linux 双线策略路由的三种实现方式总结+端口映射 Linux 双线策略路由的三种实现方式总结+端口映射 网络环境 服务器(网关): eth0 为LAN口,IP为 LAN_IP = 192.168.0.1 eth1 为第一个WAN口,接电信线路,IP为 CTC_IP,网关为 CTC_GW eth2 为第二个WAN口,接网通线路,IP为 CNC_IP,网关为 CNC_GW 内网网站 HTTP_SERVER = 192.168.0.100 内核打补丁 如果你希望外网用户,不管通过哪个IP都可以访问…

上周有厂商到公司測试,拿了一块据说非常猛的网络处理加速PCIe板卡,拎在手里沉甸甸的非常有分量,最让人意淫的是那4个万兆光口,于是我迫不及待的想要一览光口转发时那种看不见的震撼. 可是,仅凭4个光口怎么測试?起码你要有个"对端"啊.不论什么人应该都不想扛着三台机器在客户们之间跑来跑去測试其转发性能,当然你也不能指望客户那里就一定有你须要的"对端"设备,比方我们公司就没有这样的和万兆光口对接的设备,只是赶巧的是.那天还真有一台设备带有万兆光口.可是仅仅是碰巧了. 最佳…

一.rp_filter参数介绍 rp_filter参数用于控制系统是否开启对数据包源地址的校验. 首先看一下Linux内核文档documentation/networking/ip-sysctl.txt中的描述:   rp_filter - INTEGER 0 - No source validation. 1 - Strict mode as defined in RFC3704 Strict Reverse Path     Each incoming packet is tested ag…