¿Qué es rp_filter y para qué sirve?

En el mundo de Linux y las tecnologías de red existen muchas configuraciones del kernel que no son obvias pero son críticamente importantes. Una de esas configuraciones es rp_filter. Este parámetro, que a menudo pasa desapercibido, juega un papel clave en la seguridad de red y en el enrutamiento correcto de los paquetes. Vamos a ver qué es, cómo funciona y por qué su comprensión es importante para todo administrador de sistemas.

¿Qué es rp_filter?

rp_filter significa Reverse Path Filtering (filtrado de ruta inversa). Es un mecanismo del kernel de Linux que verifica los paquetes de red entrantes para asegurarse de que hayan llegado por la interfaz por la cual, según las tablas de enrutamiento, se podría enviar un paquete de respuesta.

En términos sencillos: cuando llega un paquete a una interfaz de red, rp_filter comprueba si sería posible que este servidor envíe una respuesta al IP del remitente de ese paquete por la misma interfaz por la que llegó el paquete.

Imagine una analogía: Usted recibe una carta en la que, como dirección de remitente, aparece la calle “Lenina, casa 5”. Su oficina postal comprueba: si usted enviara una carta a “Lenina, casa 5”, ¿la enviaría a través de la misma oficina postal desde la que acaba de recibir esta carta? Si la respuesta es sí, entonces todo está bien. Si no (por ejemplo, “Lenina, casa 5” está en otra ciudad y para enviarla se usa otra oficina postal distinta), entonces esta carta se considera sospechosa.

¿Para qué sirve rp_filter? (Objetivo principal: Anti-spoofing)

El objetivo principal de rp_filter es la protección contra el IP-spoofing (suplantación de IP). El IP-spoofing es una técnica en la que un atacante falsifica la dirección IP de origen de los paquetes de red, haciéndose pasar por otro equipo. Esto puede usarse para:

• Ataques DDoS: Ocultar la verdadera fuente del ataque.
• Evadir filtros de red: Hacerse pasar por un nodo de confianza.
• Ataques Man-in-the-Middle: Interceptar y modificar el tráfico.

Cuando rp_filter está activado, rechaza paquetes entrantes si su IP de origen no coincide con la ruta inversa esperada. De este modo asegura que los paquetes que recibe su servidor realmente provienen de donde dicen provenir, o al menos que la ruta hacia el remitente a través de esa interfaz es “válida” según su tabla de enrutamiento.

Modos de funcionamiento de rp_filter

rp_filter se configura por cada interfaz de red por separado (por ejemplo, eth0, eth1) y puede tomar uno de tres valores:

• 0 (Desactivado): Deshabilitado. No se realiza el filtrado de ruta inversa. Todos los paquetes son aceptados independientemente de la ruta inversa. No se recomienda para la mayoría de entornos, ya que deja el sistema vulnerable a spoofing.
• 1 (Strict mode - Modo estricto): Modo estricto conforme a RFC3704. El sistema comprueba que la respuesta al paquete entrante solo podría enviarse por la misma interfaz por la que llegó el paquete, y que sería la mejor ruta hacia la fuente del paquete. Si no es así, el paquete se descarta.
  • Ventajas: Protección máxima contra spoofing.
  • Desventajas: Puede causar problemas en configuraciones de red complejas, como enrutamiento asimétrico (cuando el tráfico entrante llega por una ruta y el saliente toma otra) y también con ciertos tipos de balanceo de carga.
• 2 (Loose mode - Modo permisivo): Modo permisivo conforme a RFC3704. El sistema comprueba que la respuesta al paquete entrante podría enviarse por cualquier interfaz en ese servidor. Si existe al menos una ruta hacia la fuente del paquete, el paquete se acepta.
  • Ventajas: Buen compromiso entre seguridad y flexibilidad. Proporciona protección contra spoofing pero permite enrutamiento asimétrico y otros escenarios de red complejos.
  • Desventajas: Menos estricto que el modo 1.

¿Dónde está y cómo configurarlo?

Los parámetros rp_filter se encuentran en /proc/sys/net/ipv4/conf/. Puede verlos para cada interfaz y para todas las interfaces a la vez:

• /proc/sys/net/ipv4/conf/all/rp_filter (se aplica a todas las interfaces por defecto, si no se anula para una concreta)
• /proc/sys/net/ipv4/conf/default/rp_filter (valor por defecto para interfaces nuevas)
• /proc/sys/net/ipv4/conf/<interface_name>/rp_filter (por ejemplo, /proc/sys/net/ipv4/conf/eth0/rp_filter)

Comprobar el valor actual (por ejemplo, para eth0):

cat /proc/sys/net/ipv4/conf/eth0/rp_filter

Cambiar el valor temporalmente (hasta el reinicio):

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/conf/eth0/rp_filter

Cambiar el valor de forma permanente (tras reinicio):

Para ello use sysctl. Abra o cree un archivo de configuración (por ejemplo, /etc/sysctl.d/99-rpfilter.conf):

net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1 # Si necesita un valor específico para la interfaz

Luego aplique los cambios:

sudo sysctl -p /etc/sysctl.d/99-rpfilter.conf

O simplemente sudo sysctl -p para aplicar todos los archivos en sysctl.d.

Recomendaciones de configuración

• Para la mayoría de servidores (una interfaz, sin enrutamiento asimétrico): Use rp_filter = 1 (modo estricto). Esto proporciona la mejor protección contra spoofing.

  net.ipv4.conf.all.rp_filter = 1
  net.ipv4.conf.default.rp_filter = 1
  

• Para servidores con enrutamiento asimétrico, múltiples direcciones IP en una interfaz, o configuraciones de red complejas (por ejemplo, balanceadores de carga, servidores VPN, algunas máquinas virtuales): Considere rp_filter = 2 (modo permisivo). Proporciona un nivel razonable de protección, pero permite que el tráfico entrante llegue por una ruta y el saliente salga por otra.

  net.ipv4.conf.all.rp_filter = 2
  net.ipv4.conf.default.rp_filter = 2
  

• Nunca utilice rp_filter = 0, salvo que tenga razones muy poderosas y comprenda completamente los riesgos.

Conclusión

rp_filter es una herramienta potente para aumentar la seguridad de red de su servidor Linux mediante la protección contra IP-spoofing. La configuración correcta de este parámetro es crítica, especialmente en entornos de acceso público. Siempre empiece con el modo más estricto (1) y sóplese a 2 únicamente si surgen problemas con tráfico legítimo en configuraciones de red complejas. Recuerde: comprender las configuraciones de red del kernel es clave para una infraestructura estable y segura.