3 155
contributi
Iproute2: differenze tra le versioni
nessun oggetto della modifica
Wtf (discussione | contributi) Nessun oggetto della modifica |
Wtf (discussione | contributi) Nessun oggetto della modifica |
||
| Riga 103: | Riga 103: | ||
Il vantaggio di avere più tabelle di routing è chiaramente quello di poter stabilire rotte diverse (e/o cambiare le priorità) per i pacchetti a seconda di alcuni criteri di confronto. | Il vantaggio di avere più tabelle di routing è chiaramente quello di poter stabilire rotte diverse (e/o cambiare le priorità) per i pacchetti a seconda di alcuni criteri di confronto. | ||
== Reverse path filtering == | |||
Sebbene questa tecnica non sia strettamente legata a iproute2 vale comunque la pena spiegare brevemente cosa sia poiché la sua abilitazione potrebbe creare problemi quando si vuole contrassegnare i pacchetti in transito, ovvero usare il comando <code>fwmark</code> della suite in congiunzione al bersaglio "mark" di iptables (modulo conntrack). | |||
In poche parole il ''reverse path filtering'' non è altro che un metodo del kernel per verificare che l'indirizzo di provenienza specificato nell'header del pacchetto stesso sia effettivamente instradabile dall'interfaccia della macchina che lo riceve. Tale verifica è principalmente atta a scartare quei pacchetti che sono stati fraudolentemente modificati per mostrare un indirizzo IP di provenienza diverso da quello reale (''ip spoofing'', molto usato ad esempio negli attacchi ''DDOS''). | |||
Questa funzione può essere facilmente abilitata o disabilitata editando le seguenti due variabili contenute nel file <code>nano /etc/sysctl.conf</code>: | |||
<pre> | |||
net.ipv4.conf.default.rp_filter | |||
net.ipv4.conf.all.rp_filter | |||
</pre> | |||
Assegnando un valore di '''0''' il ''reverse path filtering'' viene disabilitato, mentre assegnando il valore '''1''' viene attivato. In teoria è anche possibile assegnare un valore di compromesso (almeno in Red Hat e derivate), cioè '''2''', che comporta l'accettazione del pacchetto se questo può esserr instradato da almeno una delle interfacce della macchina che riceve il pacchetto. | |||
Val la pena rammentare che nel file <code>nano /etc/sysctl.conf</code> è anche possibile impostare la variabile per abilitare l'inoltro dei pacchetti, cioè <code>net.ipv4.ip_forward</code>. | |||
== Approfondimenti == | == Approfondimenti == | ||