linux上用arptables配置arp防火墙
来源:互联网 发布:淘宝开店电脑端认证 编辑:程序博客网 时间:2024/05/08 16:54
在linux上可以用arptables配置arp防火墙,网上google了一下,关于arptables的文章没几篇,都是抄来抄去,这两天把arptables研究了一把,发现还是很简单的,把配置过程给大家共享一下。实验环境是rhel5u1 32位。
1. 安装arptables
arptables的下载页面是:http://sourceforge.net/projects/ebtables/files/
0.0.3.3版本的下载链接:http://downloads.sourceforge.net ... les-v0.0.3-3.tar.gz
下载以后安装:
tar zxvf arptables-v0.0.3-3.tar.gz
cd arptables-v0.0.3-3/
make
make install
生成的命令是/usr/local/sbin/arptables、/usr/local/sbin/arptables-save、/usr/local /sbin/arptables-restore,系统启动脚本/etc/rc.d/init.d/arptables,这个脚本读的配置文件必须放在 /etc/sysconfig/arptables里。
打开arptables服务:
chkconfig arptables on
2. 配置arptables
linux服务器的网关MAC是00:24:51:E9:C7:10,同网段另一台服务器192.168.1.10(主机名是nh-blade-67)的MAC地址是00:17:A4:A8:68:11。
用命令行配置arp防火墙:
在eth0上如果源IP是192.168.1.10,并且源MAC不是00:17:A4:A8:68:11的话,就禁止这个数据桢。
- /usr/local/sbin/arptables -A INPUT -i eth0 --src-ip 192.168.1.10 --src-mac ! 00:17:A4:A8:68:11 -j DROP
在eth0上如果源MAC不是00:24:51:E9:C7:10(网关的MAC地址),就禁止这个数据桢,这一条针对外网过来的访问。
- /usr/local/sbin/arptables -A INPUT -i eth0 --src-mac ! 00:24:51:E9:C7:10 -j DROP
注意:添加arp防火墙策略的次序不能错,针对网关MAC地址的语句必须放在最后,否则本网段IP的访问策略不能生效。
把以上策略写入配置文件:
/usr/local/sbin/arptables-save > /etc/sysconfig/arptables
/etc/sysconfig/arptables文件的内容:
- *filter
- :INPUT ACCEPT
- :OUTPUT ACCEPT
- :FORWARD ACCEPT
- -A INPUT -j DROP -i eth0 -o any -s nh-blade-67 ! --src-mac 00:17:a4:a8:68:11
- -A INPUT -j DROP -i eth0 -o any ! --src-mac 00:24:51:e9:c7:10
用命令/etc/init.d/arptables restart重启arptables的时候提示出错:
- Stopping Arp filtering (arptables): [ OK ]
- Starting Arp filtering (arptables): arptables v0.0.3-3: Can't use -o with INPUT
- Try `arptables -h' or 'arptables --help' for more information.
- ERROR(line 5):
- [FAILED]
修改/etc/sysconfig/arptables文件以后的内容:
- *filter
- :INPUT ACCEPT
- :OUTPUT ACCEPT
- :FORWARD ACCEPT
- -A INPUT -j DROP -i eth0 any -s nh-blade-67 ! --src-mac 00:17:a4:a8:68:11
- -A INPUT -j DROP -i eth0 any ! --src-mac 00:24:51:e9:c7:10
再重启arp防火墙就没有错误。查看arp防火墙状态/etc/init.d/arptables status:
- *filter
- :INPUT ACCEPT
- :OUTPUT ACCEPT
- :FORWARD ACCEPT
- -A INPUT -j DROP -i eth0 -o any -s nh-blade-67 ! --src-mac 00:17:a4:a8:68:11
- -A INPUT -j DROP -i eth0 -o any ! --src-mac 00:24:51:e9:c7:10
注:
RHEL5U1自带arptables的版本是0.0.8,命令里不能带--source-ip参数,这个版本不是sourceforge.net上发布的。
- linux上用arptables配置arp防火墙
- arp防火墙arptables
- Linux下用arptables防arp攻击
- arp命令--arptables
- linux 防火墙arp问题
- arp工具简介 arptables arpwatch
- Linux上iptables防火墙配置方法
- arptables
- arptables
- linux下的arp防火墙 ---- shadaarp
- 常用网络命令(七)arp、arping、arpwatch和arptables
- 记一次 Ubuntu 使用 arptables 抵御局域网 ARP 攻击
- Linux下用iptales配置防火墙
- linux防火墙配置
- Linux 防火墙配置
- Linux 防火墙配置
- Linux防火墙配置
- Linux防火墙配置
- 有序二叉树的算法
- html:checkbox,html:multibox标签
- ubuntu追加磁盘空间8步
- 冲突管理的6种方法归纳
- 医药股本周将持续涨势,开始关注西部大开发---2010-04-07
- linux上用arptables配置arp防火墙
- useradd: cannot rewrite shadow password file
- CK
- Struts的html:checkBox标签默认选中
- 一个简单的爬虫技术实现
- android.webkit.WebView 体验2:概括
- 传智播客java培训 2010-4-6 struts第一天~
- materialized view
- .Net 该如何学习?