君子博学而日参省乎己 则知明而行无过矣

博客园 首页 新随笔 联系 订阅 管理

Linux下网络层防火墙iptables很强大,链路层也有类似的防火墙arptables,可针对arp地址进行限制,防止ARP网关欺骗攻击,再配合静态绑定MAC向网关报告正确的本机MAC地址,有效解决ARP攻击问题。
Centos5安装:

1
2
3
4
5
6
#http://blog.onovps.com
wget http://superb-sea2.dl.sourceforge.net/project/ebtables/arptables/arptables-v0.0.3/arptables-v0.0.3-4.tar.gz
tar zxvf arptables-v0.0.3-4.tar.gz 
cd arptables-v0.0.3-4
make
make install


arptables规则设置:

1
2
3
4
5
6
7
8
9
arptables -F
arptables -P INPUT ACCEPT
#默认策略
arptables -A INPUT --src-ip 192.168.1.1 --src-mac 7A:31:14:42:10:01 -j ACCEPT
#允许本网段特定MAC可进入,且IP与MAC相符
arptables -A INPUT --src-mac ! 74:8E:F8:53:DC:C0 -j DROP
#拒绝非网关MAC
arptables -A INPUT --src-ip ! 192.168.1.1 -j DROP
#拒绝非网关IP


保存规则并开机加载:

1
2
3
iptables-save > /etc/sysconfig/arptables
/etc/init.d/arptables save
chkconfig arptables on


规则保存后重新加载会出错,去除以下文件内-o any字段。

1
/etc/sysconfig/arptables


http://blog.onovps.com/archives/arptables.html

posted on 2013-07-09 22:17  刺猬的温驯  阅读(1165)  评论(0编辑  收藏  举报