Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.2.11. 逆方向パス転送

逆方向パス転送は、あるインターフェイスから着信したパケットが異なるインターフェイス経由で去ってしまうことを防ぐために使用されます。送信ルートと着信ルートが異なる場合は、非対称ルーティング と呼ばれる場合もあります。ルーターがパケットをこの方法でルート設定することはよくありますが、ほとんどのホストはこのようなことをする必要はないはずです。例外として挙げられるのは、トラフィックをあるリンクで送信し、異なるサービスプロバイダーから別のリンクでトラフィックを受け取るアプリケーションです。例えば、xDSL との組み合わせで専用回線を使っている場合や、3G モデムを使ったサテライトリンクなどの場合です。このようなシナリオが該当する場合は、着信インターフェイスで逆方向パス転送をオフにすることが必要になります。つまり、これが必要だと分かっている場合を除いて、有効にしておくのが最善の方法です。これは、ローカルサブネットからユーザーが IP アドレスをスプーフィングすることを防ぎ、DDoS 攻撃の機会を減らすためです。

注記

(Red Hat Enterprise Linux 5 とは異なり) Red Hat Enterprise Linux 6 はデフォルトで厳密な逆方向パス転送を使用します。Red Hat Enterprise Linux 6 は、RFC 3704 の Ingress Filtering for Multihomed Networks からの厳密な逆方向パスに関する推奨事項にしたがっています。現在これが適用されるのは、Red Hat Enterprise Linux 6 の IPv4 のみです。

警告

転送が有効になっていれば、(iptables ルールなど) ソースアドレス確認に他の方法がある場合にのみ、逆方向パス転送を無効にしてください。
rp_filter
逆方向パス転送は rp_filter 指示文で有効にします。rp_filter オプションは、3 つのモードから 1 つを選択するようにカーネルに指示します。
デフォルト動作の設定時には以下の形式になります。
~]# /sbin/sysctl -w net.ipv4.conf.default.rp_filter=INTEGER
ここでの INTEGER は、以下のいずれかになります。
  • 0 — ソース確認なし
  • 1 — RFC 3704 で定義された厳密モード
  • 2 — RFC 3704 で定義された緩やかなモード
この設定はネットワークインターフェイスごとに net.ipv4.interface.rp_filter を使って無効にすることが可能です。これらの設定を再起動後も維持するには、/etc/sysctl.conf ファイルを修正します。

2.2.11.1. その他のリソース

以下のリソースでは、逆方向パス転送について詳細な説明が提供されています。
  • インストール済みドキュメンテーション
    usr/share/doc/kernel-doc-version/Documentation/networking/ip-sysctl.txt — このファイルには /proc/sys/net/ipv4/ ディレクトリーで使用可能なファイルおよびオプションの完全一覧が含まれています。
  • 便利なウェブサイト
    https://access.redhat.com/knowledge/solutions/53031rp_filterについての Red Hat ナレッジベースの記事。
    Ingress Filtering for Multihomed Networks の説明については、RFC 3704 を参照してください。