Linux系统内核网络参数的意义及应用(转贴)
合法的包转发到Intranet.从而让黑客有了可乘之机,为其进行ip欺骗攻击打开了方便之门.
幸好,我们可以通过Linux的内核系统参数“反向路径过滤”来防止这种情况,该参数位于/proc/sys/net/ipv4/conf/下的各个子目录中的rp_filter文件.参数值为整数,可能的值有:
2 - 进行全面的反向路径过滤,推荐在边缘路由器上使用.但是要注意,在复杂的网络环境中,如果使用了静态路由或rip、ospf路由协议时,不推荐使用该值.
1 - 是该参数的缺省值,它只对直接连接的网络进行反向路径过滤.
0 - 不进行反向路径过滤.
应用实例:
建立如下的脚本,文件名为rp.sh#/bin/bash for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 2 > $i done然后更改文件权限chmod 755 rp.sh,执行 ./rp.sh. 五、 针对每一网络接口的内核网络参数 通过针对每一网络接口的内核网络参数,你可以为诸如eth0、eth1等具体的网络接口指定响应的内核网络参数.注意:/proc/sys/net/ipv4/conf/all/下的参数将应用于所有的网络接口. 1. accept_redirects:该参数位于/proc/sys/net/ipv4/conf/DEV/accept_redirects(DEV表示具体的网络接口),如果你的主机所在的网段中有两个路由器,你将其中一个设置成了缺省网关,但是该网关在收到你的ip包时发现该ip包经过另外一个路由器,这时这个路由器就会给你发一个所谓的“重定向”icmp包,告诉将ip包转发到另外一个路由器.参数值为布尔值,1表示接收这类重定向icmp 信息,0表示忽略.在充当路由器的linux主机上缺省值为0,在一般的linux主机上缺省值为1.建议将其改为0,或者使用“安全重定向”(见下文)以消除安全性隐患. 2. log_martians:将包含非法地址信息的ip包记录到内核日志.参数值为布尔值. 应用实例: 上面我们讲过rp_filter反向路径过滤参数,同时我们可以执行下面的语句 echo “1” > /proc/sys/net/ipv4/conf/all/log_martians然后就可以将进行ip假冒的ip包记录到/var/log/messages. 3. forwarding:启用特定网络接口的ip转发功能.参数值为布尔值,1表示进行记录. 应用实例: echo "1" > /proc/sys/net/ipv4/conf/eth0/forwarding4. accept_source_route:是否接受含有源路由信息的ip包.参数值为布尔值,1表示接受,0表示不接受.在充当网关的linux主机上缺省值为1,在一般的linux主机上缺省值为0.从安全性角度出发,建议你关闭该功能. 5. secure_redirects:前面我们已经提到过“安全重定向”的概念,其实所谓的“安全 重定向”就是只接受来自网关的“重定向”icmp包.该参数就是用来设置“安全重定向”功能的.参数值为布尔值,1表示启用,0表示禁止,缺省值为启用. 6. proxy_arp:设置是否对网络上的arp包进行中继.参数值为布尔值,1表示中继, 0表示忽略,缺省值为0.该参数通常只对充当路由器的linux主机有用. 以上就是关于linux内核网络参数的一些简单介绍,作者的水平有限,参考文献有限,难免有不足和不对的地方.欢迎您来信讨论. Bye2000@263.net Bye2000@linuxaid.com.cn |
|
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn
为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,HTTP/1.1 401 Access Denied
|
Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved
地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008
电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134
《中华人民共和国增值电信业务经营许可证》闽B2-20100024 ICP备案:闽ICP备05037997号