Зачастую можно увидеть как сетевые администраторы используют
традиционные списки доступа для предотвращения подделки адресов
(spoofing).
Видимо сказывается привычка выработаная с годами. :)
Тем не менее многие знают или слышали о такой штуке как Unicast
Reverse Path Forwarding.
Как это работает
Для работы Unicast Reverse Path Forwarding должен быть включен cef.
При получении пакета uRPF проверяет соответствует ли адрес источника и
интерфейс через который получен пакет значениям в таблице FIB.
По сути выполняется обратный резолвинг адреса источника используя базу
(reverse lookup) FIB
Решение конечно не универсальное. Его нельзя применять в случае
ассиметричного рутинга (вход по одному интерфейсу, а выход по
другому).
Подробнее можно почитать в RFC 2267.
Настройка
Cisco IOS
В конфигурацию интерфейса необходимо добавить строку
routerA(conf-if)# ip verify unicast reverse-path
PIX/ASA
В режиме глобальной конфигурации необходимо выполнить команду
myasa# ip verify reverse-path interface e0
Проверка состояния rpf
В случае Cisco IOS проверить можно поискав строку относящуюся с rpf в
выводе команды:
Vova
