作为IP路由的一种补充,uRPF(单播反向路径转发)可谓非常有用,它认证了IP数据报的源地址,在一定程度了保护了网络的安全,比如有效防止了洪泛攻击。然而直到Linux内核的2.6的高版本版本,Linux只能实现严格的uRPF,这是由fib_validate_source函数来完成的,,具体配置在/proc/sys/net/ipv4/conf/$dev/rp_filter,对于Cisco上很简单的松散的uRPF,Linux却无能为力,kernel 2.6的高版本可以为/proc/sys/net/ipv4/conf/$dev/rp_filter设置3个值,分别为不检查,严格uRPF,松散uRPF。kernel 3.3增加了rpfilter机制,将uRPF从协议栈移到了Netfilter,使得Linux可以在协议栈之外实现严格/松散uRPF,然而即便如此,对于VRF(虚拟路由转发),Linux还是没有实现,不过在rpfilter的基础上,这个VRF的实现应该很简单。
反向路由查找并非那么简单,因为需要考虑策略路由的问题,这一切从何道来呢?rpfilter技术作用在Netfilter的PREROUTING这个HOOK点上,这是合理的,因为必须在标准路由之前进行反向路径查询,以保证没有任何数据从被拒绝的反向路径发出,这里主要是为了禁止ICMP包的回发,然而在PREROUTING这个点上,目标网卡是不知道的,因此也就不能像标准路由中的fib_validate_source那样设置flowi4的iif,既然rpfilter的目的只是裁决一下反向路径的出口,那么其入口就是无关紧要的了,并且我们知道,本机loopback口的通信是可信的,那么就将反向路径查询中的flowi4的iif设置成loopback即可,然而这还有问题,那就是策略路由的问题了,如果我们不查找策略路由表,就会漏掉在策略路由表中的条目而导致正向包被丢弃,而如果想查找策略路由表,由于我们将iif设置成了loopback,就可能会因为rule的iif不匹配而错过:
策略路由中的FIB_RULE_INVERT标志和rpfilter中的XT_RPFILTER_INVERT标志是相互独立的两个取反标志,然而代表的含义基本一致,这可以让我们配置出各种组合,也就是说,你可能需要单独的配置一些针对正方向策略路由的反方向策略路由,是不是有点VRF的意思啊!
rpfilter的核心代码如下:
1.match函数:2.路由查找以及结果判断逻辑:虽然基于Netfilter的rpfilter比内置的源地址判断更合理,但是由于Linux协议栈以及Netfilter本身的机制,还是有一些副作用的。
就会犯错误,就会有无数次让自己跌倒的机会出现,
