rp_filter及Linux下多網卡接收多播的問題

本文轉載自查看原文 2013-02-25 14:17 3502 Linux

工作中曾遇到一個很奇怪的問題，我奉命調查。事情是這樣的，有一台雙網卡的機器，上面裝有Fedora8，運行一個程序。該程序分別在兩個網口上都接收多播數據，程序運行是正常的。但是，后來升級系統到Fedora13，發現就出問題了：在運行幾秒鍾后，第2個網口上就接收不到多播數據了。

能不能收到多播，取決於交換機是不是往這個網口上轉發多播數據。程序在起動的時候，會發一個IGMP的Add Membership的消息，交換機將把這個網口加入多播組。當在其他網口上收到該地址的多播包后，會轉至這個網口。其后，為了確認該接收者一直在線，交換機會發送一個IGMP Query消息，接收者反饋一個IGMP Report消息，以確認自己的存在。如果交換機沒有收到IGMP Report，則認為該接收者已經斷線，就不再往該網口上轉發多播包了。

用抓包工具定位了一下，發現程序在啟動時確實發了Add Membership消息，這是正常的。在接收下來的5秒時間內，程序能夠收到多播數據。接着，交換機發來了一條IGMP Query，問題來了，這個Fedora13系統卻沒有反饋Report。這是很奇怪的。按理說，IGMP屬於系統自動完成的協議，無需用戶干預；那么按照預期，Linux會自動反饋IGMP Report的。事實上，Feodra8和WinXP系統就是這么做的，都很正常。為什么到了Fedora13反而不正常了呢？

在調查“為什么不反饋IGMP Report”的事情上，花了一周時間都沒有進展，后來發現其實不至Fedora13，其他的主流linux如Ubuntu10, SUSE14也存在同樣的問題。

查了眾多論壇都沒有一點提示信息。后來，終於在一個英文網站上掃到了一個信息: rp_filter。后來證明，這個關鍵詞是解決問題的關鍵。reverse-path filtering，反向過濾技術，系統在接收到一個IP包后，檢查該IP是不是合乎要求，不合要求的IP包會被系統丟棄。該技術就稱為rp filter。怎么樣的包才算不合要求呢？例如，用戶在A網口上收到一個IP包，檢查其IP為B。然后考查：對於B這個IP，在發送時應該用哪個網口，“如果在不應該接收到該包的網口上接收到該IP包，則認為該IP包是hacker行為”。

例如：

A: 192.168.8.100

B: (IGMP Query) 10.0.0.1 來自路由器

查找路由表

網卡1為默認路由: 172.17.5.100 172.17.5.1

網卡2 192.168.8.100 192.168.8.1

系統根據路由表，認為10.0.0.1這個IP應該在第一個網卡172.17.5.100上收到，現實的情況是在第二張網卡192.168.8.100上收到了。認為這是不合理的，丟棄該包。致命的問題的，該包是來自路由器的IGMP Query包。

The rp_filter can reject incoming packets if their source address doesn’t match the network interface that they’re arriving on, which helps to prevent IP spoofing. Turning this on, however, has its consequences: If your host has several IP addresses on different interfaces, or if your single interface has multiple IP addresses on it, you’ll find that your kernel may end up rejecting valid traffic. It’s also important to note that even if you do not enable the rp_filter, protection against broadcast spoofing is always on. Also, the protection it provides is only against spoofed internal addresses; external addresses can still be spoofed.. By default, it is disabled.

解決方法：

系統配置文件
1. /etc/sysctl.conf
把 net.ipv4.conf.all.rp_filter和 net.ipv4.conf.default.rp_filter設為0即可
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.rp_filter = 0
系統啟動后，會自動加載這個配置文件，內核會使用這個變量

2. 命令行
顯示一個內核變量 sysctl net.ipv4.conf.all.rp_filter
設置一個內核變量 sysctl -w net.ipv4.conf.all.rp_filter=0
設置完后，會更新內核（實時的內存）中的變量的值，但不會修改sysctl.conf的值

3. 使用/proc文件系統
查看 cat /proc/sys/net/ipv4/conf/all/rp_filter
設置 echo "0" >/proc/sys/net/ipv4/conf/all/rp_filter

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 Linux rp_filter配置引起的組播斷流問題 Linux內核參數 rp_filter Linux內核參數之rp_filter Linux內核參數之rp_filter linux內核參數-rp_filter [轉]rp_filter 的一個例子 Linux下多網卡MAC配置問題 c++ 網絡編程（六）LINUX下 socket編程多播與廣播實現一次發送所有組客戶端都能接收到解決linux下無線網卡被物理禁用問題關於linux網卡消失的問題