Linux下网络层防火墙iptables很强大,链路层也有类似的防火墙arptables,可针对arp地址进行限制,防止ARP网关欺骗攻击,再配合静态绑定MAC和向网关报告正确的本机MAC地址,有效解决ARP攻击问题。
Centos5安装:
1 2 3 4 5 6 |
#http://blog.onovps.com wget http://superb-sea2.dl.sourceforge.net/project/ebtables/arptables/arptables-v0.0.3/arptables-v0.0.3-4.tar.gz tar zxvf arptables-v0.0.3-4.tar.gz cd arptables-v0.0.3-4 make make install |
arptables规则设置:
1 2 3 4 5 6 7 8 9 |
arptables -F arptables -P INPUT ACCEPT #默认策略 arptables -A INPUT --src-ip 192.168.1.1 --src-mac 7A:31:14:42:10:01 -j ACCEPT #允许本网段特定MAC可进入,且IP与MAC相符 arptables -A INPUT --src-mac ! 74:8E:F8:53:DC:C0 -j DROP #拒绝非网关MAC arptables -A INPUT --src-ip ! 192.168.1.1 -j DROP #拒绝非网关IP |
保存规则并开机加载:
1 2 3 |
iptables-save > /etc/sysconfig/arptables /etc/init.d/arptables save chkconfig arptables on |
规则保存后重新加载会出错,去除以下文件内-o any字段。
1 |
/etc/sysconfig/arptables |
http://blog.onovps.com/archives/arptables.html
