RPF

Reverse path filter、戻り経路フィルター。

インターフェイスに着信してくるパケットの送信元アドレスがルーティングテーブルに存在しているかを確認して、存在している場合だけフォワードをする。テーブルに存在していない場合パケットをドロップする。

RPFは送信元IPを偽装した攻撃を防ぐのに役立つ。

例えばルーター配下のサーバーがウイルスによって送信元アドレスとして自身のネットワークとは違うパケットを出すようになった場合などにRPFの機能が役に立つ。

RPFには二つのモードがある

loose mode 送信元IPにいずれかのインターフェースを介してアクセスできればよい

strict mode 送信元IPに着信インターフェースを介してアクセスできればよい。

当然loose modeのほうが許可される範囲は広い。

strict modeの場合は戻り経路が非対称な場合に捨てられてしまうので注意。