BLOG

多网卡下的“隐形交警”:rp_filter 参数解析

一、核心概念:rp_filter 是什么?

把 rp_filter (Reverse Path Filtering,反向路径过滤) 想象成服务器网络门口的一位严格的保镖。它的核心职责是防止IP地址欺骗 (IP Spoofing) 攻击。

工作逻辑如下: 当服务器的一个网卡(如 eth0)收到一个数据包时,rp_filter 会检查包的源IP地址,然后反问内核一个问题:“如果我要给这个源IP回信,按我当前的路由表,我应该从哪个网卡(eth0? eth1?)把信发出去?”

如果内核确定的**“最佳回信路径”(出口网卡)与实际“收到信的路径”**(入口网卡)不一致,这位保镖就会认为这个包来路不明,并可能直接将其丢弃。

二、问题根源:为何它会导致多网卡下的网络问题?

在拥有多张网卡(如一张公网卡 eth0,一张内网卡 eth1)的服务器上,非对称路由 (Asymmetric Routing) 现象非常普遍,即数据包“出去”和“回来”走的不是同一条路。这正是rp_filter发挥作用并可能导致问题的场景。

典型踩坑场景: 在一台多网卡服务器上,你想用其公网IP(在 eth0 上)去测试外部服务,执行 nc -s 公网IP 外部服务器 80

  1. 发出 (SYN): 请求包从 eth0 正常发出,一切顺利。
  2. 返回 (SYN/ACK): 由于互联网复杂的路由策略,外部服务器的响应包,意外地从 eth1 网卡进入了服务器
  3. rp_filter 介入: 服务器在 eth1 上收到响应包。此时,如果 rp_filter 处于严格模式(默认值 1,检查开始:
    • 检查项: 响应包的源IP是“外部服务器”。
    • 内核路由决策: “要给‘外部服务器’回信,我的默认路由指向 eth0。”
    • 冲突发生: 最佳回信路径是 eth0,但包是从 eth1 进来的。路径不匹配!
  4. 结果: 内核静默丢弃该响应包。上层应用(如 nc)永远等不到响应,最终连接超时。

三、rp_filter 的三种模式:严格、松散与关闭

模式行为描述影响与建议
严格模式 (Strict)1收包的网卡必须是回包的最佳出口最安全,但会因非对称路由丢包。大多数发行版默认值
松散模式 (Loose)2只要系统中存在任意一条到源IP的路由即可,不管包从哪个网卡进来。强烈推荐。兼顾安全与兼容性,是多网卡/多宿主环境的最佳选择
关闭 (Off)0不进行任何检查。连接畅通无阻,但服务器完全暴露于IP欺骗风险下。极不推荐

四、实战手册:如何查看和修改 rp_filter

操作内核参数通常需要root权限。

1. 查看当前值

方法一:直接查看(最干净) 这是查看特定值的最佳方式。

bash
# 查看所有网卡的总开关(通常最关心这个)
sysctl net.ipv4.conf.all.rp_filter

# 查看默认配置(用于新网卡)
sysctl net.ipv4.conf.default.rp_filter

# 查看指定网卡(如 ens192)
sysctl net.ipv4.conf.ens192.rp_filter
# 或
cat /proc/sys/net/ipv4/conf/ens192/rp_filter

方法二:全局扫描(有“坑”) 很多管理员喜欢用 sysctl -a | grep 来快速查找,但会遇到意料之外的输出。

bash
# 一个常见的命令及其“不干净”的输出
[root@A-OPS-APP01 ~]# sysctl -a | grep rp_filter
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
...
sysctl: reading key "net.ipv6.conf.all.stable_secret"
...

专家提示:为何会有 stable_secret 报错?

  • 原因: sysctl -a 会尝试读取所有内核参数。但像 stable_secret 这类用于生成IPv6隐私地址的密钥,出于安全考虑是**“只写”的。当 sysctl 尝试读取它时,内核会拒绝,因此 sysctl 会向标准错误 (stderr)** 打印一条诊断信息。
  • 管道 | 的工作原理: 管道只传递标准输出 (stdout),而标准错误 (stderr) 会被直接显示在终端上。
  • 解决方案: 将标准错误重定向到 /dev/null (黑洞) 来屏蔽它。
bash
# 正确的全局扫描姿势
sysctl -a 2>/dev/null | grep rp_filter

# 如果想更精确地匹配,防止匹配到 arp_filter
sysctl -a 2>/dev/null | grep -w rp_filter

2. 修改参数值

临时修改(重启后失效) 用于快速测试和立即解决问题。

bash
# 将所有网卡的 rp_filter 设置为推荐的松散模式
sudo sysctl -w net.ipv4.conf.all.rp_filter=2
sudo sysctl -w net.ipv4.conf.default.rp_filter=2

永久修改(推荐) 为了让配置在服务器重启后依然生效。

  1. 创建或编辑配置文件: 最佳实践是在 /etc/sysctl.d/ 目录下创建一个自定义文件,以避免修改系统主配置文件。

    bash
    sudo nano /etc/sysctl.d/99-custom-network.conf

  2. 添加以下内容

    ini
    # 设置rp_filter为松散模式,以解决多网卡环境下的非对称路由问题
net.ipv4.conf.all.rp_filter = 2
net.ipv4.conf.default.rp_filter = 2

  3. 使配置立即生效: 该命令会加载所有 sysctl 配置文件。

    bash
    sudo sysctl -p /etc/sysctl.d/99-custom-network.conf
# 或者让系统加载所有配置
sudo sysctl -p

五、最终排错清单与结论

  • 问题现象:在多网卡服务器上,使用 nc -scurl --interface、或特定应用(如HAProxy)指定源IP发起连接时,出现间歇性或持续性超时。
  • 排查第一步:立刻检查 net.ipv4.conf.all.rp_filter 的值。
  • 根本原因:大概率是默认的严格模式 (1)非对称路由的冲突。
  • 最佳实践:在任何多宿主(multi-homed)或存在复杂路由的环境下,果断将 rp_filter 设置为松散模式 (2)。它在提供足够安全性的同时,能完美解决由此引发的网络连接谜题。