ARP***绑定 linux/windows 下解决方案
請教: 使用IPTABLES作為網關,實現客戶端的IP地址跟MAC地址綁定?
這個你在iptables里的nat里對每個地址作SNAT時指上就OK了,
也可在你的機子上arp -s 網關IP 正確的網關MAC地址
不過怎么做也擋不住別人改地址(改了地址上不了網,但是別人會地址沖突,也上不了)
最好的辦法是用一臺支持三層交換的交換機做一個綁定(要很多銀子)
------------------
也許可以這樣過濾iptables -A FORWORD -s x.x.x.x -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT
不過你機器多的話過濾條目也會很多
我覺得我這個辦法很笨,但又想不出別的辦法
SNAT就是你共享寬帶讓別人出去阿,你沒做SNAT客戶機怎么出去?路由?
過濾mac地址也可以在POSTROUTING里SNAT時候過濾
是呀,我都找遍了這個論壇里的DHCP相關的貼子,好像沒查到,不過現在已解決這個問題。跟兄弟們分享一下,過程如下
vi /etc/ethers //新建一個ethers 文件,我感覺這是arp -s 默認在LINUX下找的文件,如果你執行arp -f 系統會提示你沒有那個文件。
然后在ethers里添加記錄,一個IP 一個MAC地址如
192.168.1.1 11:11:11:11:11:11
......
:wq
vi /etc/rc.d/rc.loacl
在最后添加
arp -f
:wq
使用arp 命令查看,可以看到標志為CM的添加的記錄。
最后測試,用別的機器把IP改成192.168.1.1
這時會發現ping 192.168.1.254 (LINUXIP/ 網關IP) 不通。
實現IP跟MAC地址綁定,防止客戶端修改IP。
目前正在使用IPTABLES+SQUID做透明**+DHCP 系統RH9,還有一些安全方面的事情沒搞。
-------------------
現在arp病毒太猖狂,局域網里tcpdump一查看好機臺機子都在搞arp***(有的是故意的,在共享帶寬上網的時候,有的是中毒的),路由器又不支持客戶機ip和mac地址綁定,深受arp病毒之苦,現將防毒經驗奉上,供各位參考。arp病毒的原理不外乎欺騙網關和被***機器的mac地址和ip的綁定情況。在沒有路由器控制權或者路由器不支持客戶機ip和mac綁定的情況下,要正常上網很麻煩。在linux下治標的辦法很容易。在本機只要網關mac地址靜態綁定,那么網關的mac地址是不會受騙了。但是為了讓網關知道你機子的mac地址,需要主動告知網關你的ip地址。
很簡單 arping 本機的ip即可。
?? 只需三步即可完成,假設你的網卡是eth0
?? 1: 在沒有受到病毒***時記錄下正常的網關的ip地址和mac地址。
?? 2: arp -s 網關ip? 網關正確的mac地址
?? #主動通過廣播發送本機的mac和ip綁定信息給網關。
?? 3:? arping? 本機eth0網卡的ip? &
?? 還有一種辦法可以上網: 用arpscan或者arping ,tcpdump (arpscan 網關ip即可知道)都很容易找出arp***為網關偽裝的的mac地址(這個mac地址可能不是真實存在的),把你的網卡的mac地址設置成和這個地址一模 一樣即可上網。
? 這些方法只可以讓你在受到arp***時正常上網,但畢竟不是治本的辦法,治本的辦法只有真人pk掉arp***的機器。可以采取其它輔助辦法
#取消arp 響應 ifconfig? eth0 -arp 用arptables、iptables防火墻工具只允許本機和網關通訊。
----------------------
??arp -f
----------------
用linux 機器配置網關且綁定ip和mac地址防止arp***(zhuan)??
??? 一、所需軟件:安裝了自帶的iptables防火墻的CentOS5.1操作系統
??? 二、前提準備:
??????? 1.進行網關的相關配置,為了方便起見,使用root用戶登錄到系統中;
??????? 2.首先對網關服務器的兩塊網卡進行網絡設置,其中內網網卡設置的時候網關的地址空白,設置好之后檢查一下網關服務器是否能夠上外網,以及與內網是否已經 聯通。均聯通之后將內網網卡和外網網卡的設備號分別記錄下來。(在本例中,內網網卡設備號為eth0、外網網卡設備號為eth1)
??????? 3.要實現內網主機可以通過網關服務器上外網的功能,需要將網關操作系統中的數據包轉發功能開啟,可以通過sysctl -A命令查看當前內核參數設置,找到其中net.ipv4.ip_forward項查看其對應的參數值(0表示未開啟,1表示開啟)
??????? 4.如果在上一項中發現的參數值為0,則需要將內核的數據包轉發功能開啟,具體實現方式為:
??????????? 輸入vi /etc/sysctl.conf命令打開配置文件,找到其中net.ipv4.ip_forward所在的行,將"="后面的數值由0更改為1,之后將文件保存后退出vi編輯器。
??????? 5.將配置文件修改完成后,可以使用sysctl -p /etc/sysctl.conf命令或將操作系統重新啟動,以使參數生效。此時準備工作已經完成,接下來對防火墻的規則進行配置即可。
??? 三、ipables規則設置:
??????? 1.此例中使用CentOS自帶的功能強大的iptables防火墻來實現上述的要求,此時需要對iptables的規則進行設置,運行vi /etc/sysconfig/iptables命令,打開規則配置文件,按照下面給出的配置文件模板進行設置:
Java代碼
2.編輯好規則配置文件后,保存并退出vi編輯器。
??????? 3.只有運行service iptables status查看系統當前iptables服務的狀態。如果為stop,則使用service iptables start命令將其開啟即可;如果為Start,則使用service iptables restart命令將其重新啟動以使新的規則設置生效。
??????? 4.此時即可實現網關服務器的設置,可以到那臺允許訪問外網的主機上訪問一下外網以檢測設置是否
========================================
防止arp***的雙向綁定
服務器端:
vi /etc/ethers 增加
192.168.0.60? 00-10-ac-9d-35-4d(windows機器的ip及mac地址)
192.168.0.61? 00-0a-cb-20-4f-f5
然后用arp -f啟動并在/etc/rc.d/rc.local最后添加:arp -f即可
在windows機器上,編輯一個arp.bat放到啟動里面,bat文本的內容:
@echo off??
arp -d??
arp -s 192.168.1.2 00-04-61-9A-8D-B2(網關的ip及mac地址)
exit
轉載于:https://blog.51cto.com/redhatdebian/705822
總結
以上是生活随笔為你收集整理的ARP***绑定 linux/windows 下解决方案的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Oracle查询表结构的一些相关语句
- 下一篇: linux 其他常用命令