Linux下网络层防火墙iptables很强大,链路层也有类似的防火墙arptables,可针对arp地址进行限制,防止ARP网关欺骗攻击,再配合静态绑定MAC和向网关报告正确的本机MAC地址,有效解决ARP攻击问题。
Centos5安装:
1
2
3
4
5
6
|
#http://blog.onovps.com
wget http://superb-sea2.dl.sourceforge.net/project/ebtables/arptables/arptables-v0.0.3/arptables-v0.0.3-4.tar.gz
tar zxvf arptables-v0.0.3-4.tar.gz
cd arptables-v0.0.3-4
make
make install
|
arptables规则设置:
1
2
3
4
5
6
7
8
9
|
arptables -F
arptables -P INPUT ACCEPT
#默认策略
arptables -A INPUT --src-ip 192.168.1.1 --src-mac 7A:31:14:42:10:01 -j ACCEPT
#允许本网段特定MAC可进入,且IP与MAC相符
arptables -A INPUT --src-mac ! 74:8E:F8:53:DC:C0 -j DROP
#拒绝非网关MAC
arptables -A INPUT --src-ip ! 192.168.1.1 -j DROP
#拒绝非网关IP
|
保存规则并开机加载:
1
2
3
|
iptables-save > /etc/sysconfig/arptables
/etc/init.d/arptables save
chkconfig arptables on
|
规则保存后重新加载会出错,去除以下文件内-o any字段。
1
|
/etc/sysconfig/arptables
|
http://blog.onovps.com/archives/arptables.html