[Tech] Reverse path filter

Gianni Bianchini giannibi@firenze.linux.it
Mer 2 Ago 2000 15:58:24 CEST


Il 02/08/00, Alessio Frusciante scrisse:

> /proc/sys/net/ipv4/conf/<interfaccia>/rp_filter

> __________           ________           _____________
>           |         |        |         |
> Internet  |    eth1 |   FW   | eth0    | Rete protetta
> __________|         |________|         |_____________
> 
> 
> Supponiamo che la mia rete sia 200.200.200.X. Di solito metto delle regole
> che controllano: se mi arriva un pacchetto con mittente 200.200.200.X
> dall'interfaccia eth1 lo scarto. Analogamente se mi arriva un pacchetto con
> mittente diverso da 200.200.200.X dall'interfaccia eth0. Se metto rp_filter
> uguale a 2 posso evitare di fare cio`? E a quali condizioni?

Il livello 2 assicura che un pacchetto sara' scartato qualora
le tabelle di instradamento verso il suo indirizzo di provenienza
indichino un'interfaccia diversa da quella attraverso la quale tale
pacchetto e' stato ricevuto. Quindi nel tuo caso sembrerebbe
funzionare, poiche' l'instradamento e' perfettamente simmetrico. Non
funzionerebbe se tu fossi interfacciato a delle reti con delle
asimmetrie volute nei percorsi (un pacchetto da x.y.z.t e'
supposto arrivare da eth1 ma il traffico per x.y.z.t e' instradato su
eth0).
-> RFC 1812 5.3.8

Tuttavia non mi e' chiarissimo il ruolo del livello 1, la
documentazione del kernel non mi sembra molto illuminante al riguardo.
Su linux-kernel e' stata sollevata la questione che in alcuni casi
rp_filter non e' capace di bloccare pacchetti spoofati, pare pero'
senza molto fondamento. 

http://boudicca.tux.org/hypermail/linux-kernel/2000week08/1518.html

Forse l'unica situazione in cui potrebbe non funzionare e' quella in
cui la route verso alcuni indirizzi non e' definita affatto. Chissa'.

Ciao.
Gianni.

 Gianni Bianchini                    | giannibi@firenze.linux.it 
 ---------------------------------------------------------------------------
 "La Teoria e' quando si sa tutto ma non funziona niente; la Pratica e'
 quando tutto funziona ma nessuno sa perche'. Qui da noi, Teoria e Pratica
 si sono fuse: non c'e' niente che funzioni e nessuno ne capisce il motivo."





Maggiori informazioni sulla lista flug-tech