Обсуждение статьи тематического каталога: Как бороться со сменой IP адресов клиентами локальной сети (arp mac ethernet ifconfig freebsd limit security)Ссылка на текст статьи: http://www.opennet.me/base/sec/arp_fixation.txt.html
Полезная вещь, спасибо
А можно ли как-нибудь не запрещать серверу раздавать свой MAC адрес клиентским машинам?
Просто в сетке есть ноуты, которые помимо инета в офисе пользуются инетом дома и прописывать им arp -s совсем не эстетично и не практично.
Спасибо.
Есть еще ipsintel и arpalert, хотя насколько я знаю ни одна из них не спасает от одновременной смены адреса и мака :(
Способ 1 можна дополнить и превратить в Способ 2 но без проблем со статическим mac для маршрутизатора.iptables -A INPUT -s 192.168.0.0/24 -m mac --mac-source 00:00:00:00:00:00 -j DROP
Смена mac'а на 0:0:0:0:0:0 "умному" юзеру теперь не не поможет.
На мой взгляд проще в этом случае выдать фиксированные адреса с помощью сервера DHCP, затем остальным закрыть и тогда не поможет "умному" юзеру смена мака на 00:00:01:00:00
Люди а вот Вы мне не подскажете как именно прописать в Ubuntu 7.04 MAC на 0:0:0:0:0
ifconfig <iface> hw ether <mac>results may vary
Некоторое время назад я размышлял над этим вопросом, в результате которой родилась теоретически работающая схема, но на практике она не проверялась.
Схема такова:
При подключении клиентской машины к сети первая позылает в сеть самопроизвольный широковещательный ответ типа: "мой IP такой<->мой МАС такой".
Выделенный для известной цели сервер отслеживает подобные ответы с помощью arpwatch и передает в syslog. Последний обрабатывается например при помощи syslog-ng с выставленными фильтрами на эти случаи и передает в качестве параметров связку IP<->MAC скрипту. Скрипт читает данные из БД и в случае успешной проверки на валидность вносит в межсетевой фильтр соответствующее правило.
Не проще ли настроить DHCP, а учёт вести по логину?