如何默默地丢弃一些传出数据包？

Question 1

添加虚拟接口并设置到该接口的路由怎么样？

# ip link add dummy0 type dummy
# ip link set dev dummy0 up
# ip route add 8.8.8.8/32 dev dummy0
# ping -c3 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.

--- 8.8.8.8 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2015ms

它始终向上的任何（邻居或远程）地址发送数据包dummy0。

# tshark -i dummy0
Running as user "root" and group "root". This could be dangerous.
Capturing on 'dummy0'
  1   0.000000   10.10.0.59 -> 8.8.8.8      ICMP 98 Echo (ping) request  id=0x1ce0, seq=1/256, ttl=64
  2   1.007348   10.10.0.59 -> 8.8.8.8      ICMP 98 Echo (ping) request  id=0x1ce0, seq=2/512, ttl=64
  3   2.015394   10.10.0.59 -> 8.8.8.8      ICMP 98 Echo (ping) request  id=0x1ce0, seq=3/768, ttl=64

Answer

添加虚拟接口并设置到该接口的路由怎么样？

# ip link add dummy0 type dummy
# ip link set dev dummy0 up
# ip route add 8.8.8.8/32 dev dummy0
# ping -c3 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.

--- 8.8.8.8 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2015ms

它始终向上的任何（邻居或远程）地址发送数据包dummy0。

# tshark -i dummy0
Running as user "root" and group "root". This could be dangerous.
Capturing on 'dummy0'
  1   0.000000   10.10.0.59 -> 8.8.8.8      ICMP 98 Echo (ping) request  id=0x1ce0, seq=1/256, ttl=64
  2   1.007348   10.10.0.59 -> 8.8.8.8      ICMP 98 Echo (ping) request  id=0x1ce0, seq=2/512, ttl=64
  3   2.015394   10.10.0.59 -> 8.8.8.8      ICMP 98 Echo (ping) request  id=0x1ce0, seq=3/768, ttl=64

Question 2

由于反向路径过滤，添加路由会破坏传入流量。简单的解决方案：在接口上禁用反向路径过滤：

echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter

（使用您的传入接口代替eth0多于）。

您还可以使用REDIRECT目标（将数据包发送到侦听它的 netcat nc -l -u -p 1234 > /dev/null）。更复杂的版本是 NFQUEUE。

Answer

由于反向路径过滤，添加路由会破坏传入流量。简单的解决方案：在接口上禁用反向路径过滤：

echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter

（使用您的传入接口代替eth0多于）。

您还可以使用REDIRECT目标（将数据包发送到侦听它的 netcat nc -l -u -p 1234 > /dev/null）。更复杂的版本是 NFQUEUE。

如何默默地丢弃一些传出数据包？

答案1

答案2

相关内容