arp -s
Milan Kerslager
milan.kerslager na pslib.cz
Středa Srpen 13 10:23:05 CEST 2003
On Tue, Aug 12, 2003 at 06:43:11PM +0200, Jan Nováček wrote:
> Dobrý večer,
> potřebuji provádět kontrolu mac&ip.
> Dělám to pomocí arp -s IP a MAC.
> Jenže, aby toto opatření mělo smysl musím do arpu zadat všechny IP, i
> ty co nejsou využité a k těmto vymyslet nějaké nesmyslné MAC, aby
> nebylo možné si změnit IP na některou z "nevyužitých" adres.
>
> Neřešil jste někdo podobný problém a nemáte inteligentnější metodu,
> než jakou jsem použil já?
iptables -F MAC
iptables -X MAC
iptables -N MAC
iptables -A MAC -m mac --mac-source 00:A0:24:D6:F9:F9 -s 1.2.3.4 -j RETURN
...
iptables -A MAC -j DROP
iptables -I FORWARD 1 -i eth1 -j MAC
Tj. zalozit chain MAC a v nem pomoci RETURN uvest povolene dvojice.
Konec chainu bude zahazovat (a pred tim mozna logovat). Volani chainu
zaradte do FORWARD nebo INPUT na prvni misto.
Mate-li inteligentni switche, je dobre tyto restrikce nastavit na jeho
porty.
--
Milan Kerslager
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/~kerslage/
Další informace o konferenci Linux