假设此接口的名称为ens20.4,其vlan-raw-device为ens20,目标接口(用于测试数据包流)名为ens20.2(尽管它应该适用于任何目标接口).
我试图仅为ens20.4设置rp_filter属性,但没有成功:
echo 0 > /proc/sys/net/ipv4/conf/ens20.4/rp_filter
因此,出于测试目的,我还为vlan-raw-device和测试目标接口禁用了rp_filter:
echo 0 > /proc/sys/net/ipv4/conf/ens20/rp_filterecho 0 > /proc/sys/net/ipv4/conf/ens20.2/rp_filter
仍然没有成功,具有“欺骗”源IP地址的数据包仍然被丢弃.只有当我为所有接口禁用rp_filter时,数据包才会通过:
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
但是,我仍然希望对所有其他接口保持反向路径过滤 – 我缺少什么?
解决方法 信息: https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/tree/Documentation/networking/ip-sysctl.txt?h=v4.9#n1090请注意可以解释您的尝试的最后一句话:
The max value from conf/{all,interface}/rp_filter is used when doing source valIDation on the {interface}.
所以这应该工作:
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > "$i"doneecho 0 > /proc/sys/net/ipv4/conf/all/rp_filterecho 0 > /proc/sys/net/ipv4/conf/ens20.4/rp_filter
现在max(conf / {all,ens20.4} / rp_filter == 0:没有源验证.只需仔细检查其他接口是否仍受保护.
您还可以使用值2检查“松散”rpf.如果数据包通常应由其他接口路由,则优于无验证.
总结以上是内存溢出为你收集整理的linux – 在一个接口上禁用rp_filter全部内容,希望文章能够帮你解决linux – 在一个接口上禁用rp_filter所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)