Linux的高级路由和流量控制:内核网络参数

内核有很多可以在不同环境下调整的参数。通常,预设的缺省值可以满足99%的环境要求,we don't call this the ">Advanced HOWTO for the fun of it!

有个很有趣的地方:/proc/sys/net,你应该看看。这里一开始并没有把所有的内容归档,但我们正在尽力如此。

有时候你需要看看Linux的内核源代码、读读Documentation/filesystems/proc.txt。绝大多数特性那里都有解释。

1. 反向路径过滤

缺省情况下,路由器路由一切包,即使某些数据包“明显地”不属于你的网络。一个简单的例子就是私有IP空间溢出到了Internet上。如果你有一个网卡带有去往195.96.96.0/24的路由,你不会期望从这里收到来自212.64.94.1的数据包。
很多人都希望关掉这个功能,所以内核作者们按照这种要求做了。你可以利用/proc下的一些文件来配置内核是否使用这个功能。这种方法就叫“反向路径过滤”。基本上说,就是如果一个数据包的回应包不是从它来的网卡发出去,就认为这是一个伪造包,应该丢弃。

下面的片段将在所有的(包括将来的)网卡上启用这个功能:

# for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do
> echo 2 > $i
> done

依照上面的例子,如果一个源地址是来自office+isp子网的数据包,却从Linux路由器的eth1口到达,那么它将被丢弃。同理,如果一个来自office子网的数据包却声明它来自防火墙外面的某个地方,也会被丢弃。

上面说的是完整的反向路径过滤。却省情况是只基于直接与网卡相接的子网地址进行过滤。这是因为完整的反向路径过滤会破坏非对称路由(就是说数据包从一条路来而从另一条路离开——比如你在网络中使用了动态路由(bgp、ospf、rip)或者比如卫星通讯,数据从卫星下行到路由器,上行数据则经过地面线路传输。)。

如果你有这些情况,就可以简单地关掉卫星下行数据要进入那块网卡的rp_filter。如果你想看一看丢弃了哪些包,可以通过相同目录下的log_martians文件通知内核向你的syslog中写日志。

# echo 1 >/proc/sys/net/ipv4/conf/<interfacename>/log_martians

2. 深层设置

有很多参数可以修改。我们希望能够全列出来。在Documentation/ip-sysctl.txt中也有部分记载。

这些设置中的部分缺省值取决于你在内核配置时是否选择了“Configure as router and not host”。

Oskar Andreasson也有一个网页比我们讨论得更详细的网页:http://ipsysctl-tutorial.frozentux.net/

时间: 2024-10-27 03:40:27

Linux的高级路由和流量控制:内核网络参数的相关文章

Linux的高级路由和流量控制:其它可能性

这章列出了一些有关Linux的高级路由和流量整形的计划.其中有些链接应该单独写一章,有些本身的文档十分完整,不需要更多的HOWTO. 1Q VLAN在Linux上的实现(网站) VLAN是一种使用非物理方法把网络划分成多个部分的技术.这里可以找到很多有关VLAN的信息.利用这个实现,你可以让你的Linux机器与VLAN设备(比如http://www.aliyun.com/zixun/aggregation/15069.html">Cisco Catalyst,3Com: <Coreb

Linux的高级路由和流量控制:介绍iproute2

希望这篇文档能对你更好地理解Linxs2.2/2.4的路由有所帮助和启发.不被大多数使用者所知道的是,你所使用工具,其实能够完成相当规模工作.比如route 和ifconfig,实际上暗中调用了非常强大的iproute 2的底层基本功能. Linux能为你做什么 一个小列表: • 管制某台计算机的带宽• 管制通向某台计算机的带宽• 帮助你公平地共享带宽• 保护你的网络不受DoS攻击• 保护Internet不受到你的客户的攻击• 把多台服务器虚拟成一台,进行http://www.aliyun.co

Linux的高级路由和流量控制:多播路由

Multicast-HOWTO已经很古老了(相对而言) ,而且不够准确甚至会因此而误21136.html">导读者. 在你开始进行多播路由之前,你需要重新配置你的Linux内核来支持你想实现的多播路由类型.这一步需要你来决定使用何种类型的多播路由.基本上有这么四种:DVMRP (RIP单播协议的多播版本),MOSPF(同理,只不过是OSPF),PIM-SM ("Protocol Independent Multicasting - Sparse Mode",协议无关多播

Linux的高级路由和流量控制:构建网桥以及用ARP代理构建伪网桥

网桥是一种安装在网络中,不需要任何后续配置的设备.网络交换器基本上就是一个多口网桥.也就是说网桥就是一个两口的交换器.而Linux能支持多个接口的网桥,成为一个真正的交换器. 网桥经常被用于改进那些http://www.aliyun.com/zixun/aggregation/7317.html">工作状态不佳但是又不能改造的网络.因为网桥是一个2层设备(IP下面的那一层),路由器和服务器意识不到它的存在.也就意味着你可以完全透明地阻挡或者修改数据包,甚至流量整形. 另一件好事是,假如一个

Linux的高级路由和流量控制:GRE和其他隧道

Linux有3种隧道.它们是: IP-in-IP 隧道. GRE 隧道和非内核隧道(如PPTP). 1. 关于隧道的几点注释 隧道可以用于实现很多非常不一般而有趣的功能.但如果你的配置有问题,却也会发生可怕的错误.除非你确切地知道你在做什么,否则不要把缺省路由指向一个隧道设备.而且,隧道会增加协议开销,因为它需要一个额外的IP包头.一般应该是每个包增加20个字节,所以如果一个网络的MTU是1500字节的话,使用隧道技术后,实际的IP包长度最长只能有1480字节了.这倒不是什么原则性的问题,但如果

Linux的高级路由和流量控制:用Cisco和6bone实现IPv6

1. http://www.aliyun.com/zixun/aggregation/9485.html">IPv6隧道 这是Linux隧道能力的另一个应用.这在IPv6的早期实现中非常流行.下面动手试验的例子当然不是实现IPv6隧道的唯一方法.然而,它却是在Linux与支持IPv6的CISCO路由器之间搭建隧道的常用方法,经验证明多数人都是照这样做的.八成也适合于你. 简单谈谈IPv6地址: 相对于IPv4地址而言, IPv6地址非常大,有128bit而不是32bit.这让我们得到了我们

Linux的高级路由和流量控制:动态路由OSPF和BGP

当你的网络变得确实比较大,或者你开始考虑成为国际互联网的一部分的时候,你就需要能够动态调整路由的工具了.站点之间经常由越来越多个链路互相连接. OSPF和BGP4几乎已经成了Internet的实际标准.通过gated和zebra,Linux全都能支持. 因为这些内容暂时没有包括进本文档,我们在此仅给出具体的学习方向: 纵览: Ciscohttp://www.aliyun.com/zixun/aggregation/9344.html">系统设计大规模的IP网络 对于OSPF: Moy, J

Linux的高级路由和流量控制:路由策略数据库

如果你有一个大规模的路由器,你可能不得不同时满足不同用户对于路由的不同需求.路由策略数据库可以帮助你通过多路由表技术来实现. 如果你想使用这个特性,请确认你的内核配置中带有 "IP: advanced router" 和 "IP: policy routing" 两项. 当内核需要做出路由选择时,它会找出应该参考哪一张路由表.除了 "ip" 命令之外,以前的 "route" 命令也能修改 main 和 local 表. 缺省规

Linux的高级路由和流量控制:对包进行分类的高级过滤器

就象在分类的队列规定一段中解释的,过滤器用与把数据包分类并放入相应的子队列.这些过滤器在分类的队列规定内部被调用. 下面就是我们可用的分类器(部分): fw 根据防火墙如何对这个数据包做标记进行判断.如果你不想学习tc的过滤器语法,这倒是一个捷径.细节请参见队列那一章. u32 根据数据包中的各个字段进行判断,如源IP地址等等. route 根据数据包将被哪条路由进行路由来判断. rsvp, rsvp6 根据数据包的RSVP情况进行判断.只能用于你自己的网络,互联网并不遵守RSVP. tcind