我有一个私人networking与一些Linux路由器都通过OSPF路由共享。 我如何黑洞私人networking范围,我没有路线?
换句话说,我想确保我不会将10.0.0.0/8,172.16.0.0/12或192.168.0.0/24路由到默认网关。 我不能只为这些networking创build静态汇(黑洞)路由,因为私有范围之一内的networking可能会通过OSPF进行广播。
我可以使用netfilter来丢弃默认的GW连接接口的所有stream量,如果它在私人范围内,但我认为iproute2 / linux可能有一个更简单或更“正确”的解决scheme。
ip route add blackhole 10.0.0.0/8 ip route add blackhole 172.16.0.0/12 ip route add blackhole 192.168.0.0/16 由于更具体的路由总是优先的,所以通过OSPF发布的任何范围将优先于黑洞路由。
思科:
router>sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 0.0.0.0 to network 0.0.0.0 xx.0.0.0/32 is subnetted, 2 subnets C xx.xx.xx.192 is directly connected, Dialer0 C xx.xx.xx.1 is directly connected, Dialer0 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.10.0.0/30 is directly connected, Tunnel1 S 10.0.0.0/8 is directly connected, Null0 C 192.168.1.0/24 is directly connected, FastEthernet0/0 S* 0.0.0.0/0 is directly connected, Dialer0 S 172.16.0.0/12 is directly connected, Null0 S 192.168.0.0/16 is directly connected, Null0
在Linux上:
michael:~$ sudo ip route add blackhole 192.168.0.0/16 michael:~$ ping 192.168.0.1 PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data. 64 bytes from 192.168.0.1: icmp_req=1 ttl=64 time=0.238 ms 64 bytes from 192.168.0.1: icmp_req=2 ttl=64 time=0.180 ms <...> michael@challenger:~$ ping 192.168.1.1 connect: Network is unreachable
只要你按照这些思路思考,你应该知道BOGON列表。 http://www.team-cymru.org/Services/Bogons/
我可能会像你所build议的那样使用netfilter / drop。 最安全的做法是将BOGONconfiguration保留在外部接口或防火墙上,所以它只在一个地方,不会破坏内部的变化。 如果你有一台防火墙机器或者一台外部路由器,那么我就把这些块放在哪里。 在最后的可能的一步。