http://avz.org.ua/wp/2009/04/24/sed-config-editing/ Заметки о Linux и прочие полезные howto Tue, 07 Feb 2012 10:16:35 +0000 hourly 1 http://wordpress.org/?v=3.3.1 http://avz.org.ua/wp/2009/04/24/sed-config-editing/comment-page-1/#comment-6 avz Wed, 20 May 2009 19:24:17 +0000 http://avz.org.ua/wp/?p=120#comment-6 А команда <strong>"ip verify unicast source reachable-via rx"</strong> используется для анти-спуфинга, включая фичу, которая называется Unicast Reverse Path Forwarding (Unicast RPF). Кроме ключевого слова "rx" (которое означает, что входящий в данный интерфейс пакет пропускатеся только если адрес отправителя, в нем содержащийся, имеется в <a href="http://en.wikipedia.org/wiki/Forwarding_Information_Base" rel="nofollow">FIB</a> - Forwarding Information Base и если этот адрес непосредственно достижим через данный интерфейс) есть еще варианты "any" (проверка аналогичная предыдущей, но пакет пропускается если он непосредственно достижим через <strong>любой</strong> из интерфейсов роутера, а не обязательно только через тот, куда пришел), "allow-default" (разрешается использование маршрута по умолчанию для проверки достижимости адреса отправителя). Также после "reachable-via" можно использовать номер списка контроля доступа (десятичный номер). Причем если номер из диапазона 1-99, то будет использоваться стандартный список доступа (IP standard access list), если из диапазона 100-199 -- расширенный список доступа (IP extended access list). А команда «ip verify unicast source reachable-via rx» используется для анти-спуфинга, включая фичу, которая называется Unicast Reverse Path Forwarding (Unicast RPF). Кроме ключевого слова «rx» (которое означает, что входящий в данный интерфейс пакет пропускатеся только если адрес отправителя, в нем содержащийся, имеется в FIB — Forwarding Information Base и если этот адрес непосредственно достижим через данный интерфейс) есть еще варианты «any» (проверка аналогичная предыдущей, но пакет пропускается если он непосредственно достижим через любой из интерфейсов роутера, а не обязательно только через тот, куда пришел), «allow-default» (разрешается использование маршрута по умолчанию для проверки достижимости адреса отправителя). Также после «reachable-via» можно использовать номер списка контроля доступа (десятичный номер). Причем если номер из диапазона 1-99, то будет использоваться стандартный список доступа (IP standard access list), если из диапазона 100-199 -- расширенный список доступа (IP extended access list).

]]>