Iproute2: differenze tra le versioni

Vai alla navigazione Vai alla ricerca
nessun oggetto della modifica
Nessun oggetto della modifica
Nessun oggetto della modifica
Riga 103: Riga 103:
Il vantaggio di avere più tabelle di routing è chiaramente quello di poter stabilire rotte diverse (e/o cambiare le priorità) per i pacchetti a seconda di alcuni criteri di confronto.
Il vantaggio di avere più tabelle di routing è chiaramente quello di poter stabilire rotte diverse (e/o cambiare le priorità) per i pacchetti a seconda di alcuni criteri di confronto.


== Reverse path filtering ==
Sebbene questa tecnica non sia strettamente legata a iproute2 vale comunque la pena spiegare brevemente cosa sia poiché la sua abilitazione potrebbe creare problemi quando si vuole contrassegnare i pacchetti in transito, ovvero usare il comando <code>fwmark</code> della suite in congiunzione al bersaglio "mark" di iptables (modulo conntrack).
In poche parole il ''reverse path filtering'' non è altro che un metodo del kernel per verificare che l'indirizzo di provenienza specificato nell'header del pacchetto stesso sia effettivamente instradabile dall'interfaccia della macchina che lo riceve. Tale verifica è principalmente atta a scartare quei pacchetti che sono stati fraudolentemente modificati per mostrare un indirizzo IP di provenienza diverso da quello reale (''ip spoofing'', molto usato ad esempio negli attacchi ''DDOS'').
Questa funzione può essere facilmente abilitata o disabilitata editando le seguenti due variabili contenute nel file <code>nano /etc/sysctl.conf</code>:
<pre>
net.ipv4.conf.default.rp_filter
net.ipv4.conf.all.rp_filter
</pre>
Assegnando un valore di '''0''' il ''reverse path filtering'' viene disabilitato, mentre assegnando il valore '''1''' viene attivato. In teoria è anche possibile assegnare un valore di compromesso (almeno in Red Hat e derivate), cioè '''2''', che comporta l'accettazione del pacchetto se questo può esserr instradato da almeno una delle interfacce della macchina che riceve il pacchetto.
Val la pena rammentare che nel file <code>nano /etc/sysctl.conf</code> è anche possibile impostare la variabile per abilitare l'inoltro dei pacchetti, cioè <code>net.ipv4.ip_forward</code>.


== Approfondimenti ==
== Approfondimenti ==
3 155

contributi

Menu di navigazione