如果是修改字段应该在MANGLE,Source Routing一般用于网络故障测试troubleshooting用,从安全性的角度容易被攻击者利用,一般在GNU/Linux安全部署里都要求关闭。
参考: http://hardenedlinux.org/system-security/2015/06/09/debian-security-chklist.html https://raw.githubusercontent.com/citypw/DNFWAH/master/4/d4_0x02_DNFWAH_gnu-linux_security_baseline_hardening.txt 2016-01-29 18:33 GMT+08:00 Rui Wang <[email protected]>: > 可以麻烦给个文档吗? > 因为 Source Routing 是修改 IP 包的 option 字段,iptables 里面的那个链可以实现? > >> 在 2016年1月29日,下午3:25,Liang Guo <[email protected]> 写道: >> >> 2016-01-28 13:23 GMT+08:00 Rui Wang <[email protected]>: >>> 各位 GZLUG 的童鞋,和大家请教一个关于 Source Routing 的问题 >>> >>> 关于 Source Routing 的介绍:https://en.wikipedia.org/wiki/Source_routing >>> 简单的说就是由 IP 包的发送方来指定这个包每一跳该怎么走来到达目的地址,而忽略中间网络设备的路由表 >>> 与之相对,普通的 Router Routing 的行为是,IP 包到了某个网络设备,由这个网络设备上的路由表来决定怎么走 >>> >>> 在 TCP/IP 详解第一卷中,也说到了 Source Routing,应用在了 traceroute 上 >>> Google 了一下找到了下面这个内核参数:net.ipv4.conf.all.accept_source_route,来表示是否支持 Source >>> Routin。 >>> 但是除了那个 traceroute,没有找到其他成熟的 Source Routing 的应用 >>> >>> 不知道各位童鞋有没有在工作学习中使用到 Source Routing 呢,可否分享下如何实现,非常感谢! >>> >> Iptables 直接支持 >> >> -- >> Liang Guo >> http://guoliang.me/ >> >> -- >> 您收到此邮件是因为您订阅了 Google 网上论坛的“广州 GNU/Linux 用户组”群组。 >> 要退订此群组并停止接收此群组的电子邮件,请发送电子邮件到[email protected]。 >> 要向此群组发帖,请发送电子邮件至 [email protected]。 >> 访问此群组:https://groups.google.com/group/gzlug。 >> 要查看更多选项,请访问 https://groups.google.com/d/optout。 > > -- > 您收到此邮件是因为您订阅了 Google 网上论坛的“广州 GNU/Linux 用户组”群组。 > 要退订此群组并停止接收此群组的电子邮件,请发送电子邮件到[email protected]。 > 要向此群组发帖,请发送电子邮件至 [email protected]。 > 访问此群组:https://groups.google.com/group/gzlug。 > 要查看更多选项,请访问 https://groups.google.com/d/optout。 -- GNU powered it... GPL protect it... God blessing it... regards Shawn -- 您收到此邮件是因为您订阅了 Google 网上论坛的“广州 GNU/Linux 用户组”群组。 要退订此群组并停止接收此群组的电子邮件,请发送电子邮件到[email protected]。 要向此群组发帖,请发送电子邮件至 [email protected]。 访问此群组:https://groups.google.com/group/gzlug。 要查看更多选项,请访问 https://groups.google.com/d/optout。
