インフラエンジニアの隙間時間 Infrastructure Engineer's Spare Time
戻り経路フィルタ(RPF)設定
Linuxサーバによる通信の送受信が異なるNICを介す場合の設定
【予備知識】
- Linuxのデフォルトゲートウェイは1つしか設定ができない
- パケットの行きと帰りが別経路となる通信を非対称通信(非対称ルーティング)と呼ぶ
- Linuxは非対称通信をデフォルトでは禁止している(なりすましの可能性を防ぐため)
【経緯】
構築するサーバのネットワーク設計上、LinuxサーバのNIC1へ届いたパケットはNIC2から返す必要があった。
しかしLinuxでは非対称通信を禁止しているため、明示的に許可をする設定が必要であるため対応を実施。
【対策】
sysctlコマンドで/etc/sysctl.confに以下2つの項目を設定する。
# vi /etc/sysctl.conf
net.ipv4.conf.all.rp_filter = 2
net.ipv4.conf.default.rp_filter = 2
【補足】
・非対称ルーティング を行う場合は「なりすまし」の危険性があることを留意する。
・ステートフルインスペクションのファイアウォールが設定されている場合、
別途PBR(ポリシーベースルーティング)を設定する必要がある。(ここでは割愛)