2.2.11. 逆方向パス転送
逆方向パス転送は、1 つのインターフェースを介して別のインターフェースを介して送信しないようにするために使用します。発信ルートと受信ルートが異なる場合、非対称ルーティング と呼ばれることもあります。ルーターは、頻繁にパケットをルーティングしますが、ほとんどのホストはこれを行う必要はありません。例外として、あるリンクでトラフィックを送信し、別のサービスプロバイダーから別のリンクでトラフィックを受信する このようなアプリケーションのことです。たとえば、リースした行をと併用すると、 xDSL または satellite のリンク先 3G イタリア語。このようなシナリオが該当する場合は、受信インターフェースで逆方向パス転送を無効にする必要があります。短い場合には、必要でない限り、ローカルサブネットからの IP アドレスの偽装を防ぐため、有効にすることが推奨されます。これにより、ローカルサブネットからの
IP
アドレスが偽装され、可能性が低減するためです。 DDoS 攻撃。
注記
Red Hat Enterprise Linux 6(Red Hat Enterprise Linux 5 とは異なり)はデフォルトで Strict Reverse Path Forwarding を使用します。Red Hat Enterprise Linux 6 は、RFC 3704, Ingress Filtering for Multihomed Networks の厳密な逆方向パスの推奨事項に従います。現在、これは Red Hat Enterprise Linux 6 の
IPv4
にのみ適用されます。
警告
転送が有効になっている場合は、source-address 検証の他の手段がある場合に限り、逆方向パス転送を無効にする必要があります(たとえば iptables ルールなど)。
-
rp_filter
- 逆方向パス転送は、
rp_filter
ディレクティブで有効にします。rp_filter
オプションは、3 つのモードのいずれかから選択するようにカーネルに指示するために使用されます。デフォルトの動作を設定する際には、以下の形式を取ります。~]# /sbin/sysctl -w net.ipv4.conf.default.rp_filter=INTEGER
ここで、INTEGER は以下のいずれかになります。0
: ソースの検証はありません。1
: RFC 3704 で定義される厳密モード2
: RFC 3704 で定義される緩やかなモード。
この設定は、を使用してネットワークインターフェースごとに上書きでき net.ipv4.interface.rp_filterます。これらの設定を再起動後も維持するには、/etc/sysctl.conf
ファイルを変更します。
2.2.11.1. その他のリソース
以下は、逆方向パス転送の詳細を確認するリソースです。
- インストールされているドキュメント
usr/share/doc/kernel-doc-version/Documentation/networking/ip-sysctl.txt
: このファイルには、/proc/sys/net/ipv4/
ディレクトリーで利用可能なファイルおよびオプションの完全な一覧が記載されています。 - 便利な Web サイトhttps://access.redhat.com/knowledge/solutions/53031 - Red Hat ナレッジベースアーティクル
rp_filter
マルチホームネットワーク向けの Ingress Filtering の説明は、RFC 3704 を参照してください。