假设有如下的情景：

　
　　1.1.1.1 2.2.2.2

在缺省状态下，路由器根据包的目的地址进行转发，所以路由器缺省是对来自任何地方的包进行转发的。如上图所示，假如路由器的2.2.2.2接口（也即广域网接口）接收到一个包，该包的源地址为1.1.1.100（也即为Intranet地址），虽然这是不可能或者说是不合理的，但是由于路由器的特性，路由器还是会把这个不合法的包转发到Intranet。从而让黑客有了可乘之机，为其进行ip欺骗攻击打开了方便之门。

幸好，我们可以通过Linux的内核系统参数“反向路径过滤”来防止这种情况，该参数位于/proc/sys/net/ipv4/conf/下的各个子目录中的rp_filter文件。参数值为整数，可能的值有：

2 － 进行全面的反向路径过滤，推荐在边缘路由器上使用。但是要注意，在复杂的网络环境中，如果使用了静态路由或rip、ospf路由协议时，不推荐使用该值。

1 － 是该参数的缺省值，它只对直接连接的网络进行反向路径过滤。

0 － 不进行反向路径过滤。

应用实例：

建立如下的脚本，文件名为rp.sh:

　　#/bin/bash 
　　for i in /proc/sys/net/ipv4/conf/*/rp_filter ; 
　　do 
　　echo 2 > $i 
　　done

然后更改文件权限chmod 755 rp.sh。

最后执行 ./rp.sh。

(the end)