https://slinkov.ru/openforum/vsluhforumID1/82574.html Вот такая беда:<br>В сетке провайдера завелся вирусняк, который балуется ARP spoofing'ом, обьявляя себя за 10.1.0.1, т.е. шлюз прова, в итоге инет ложится. В сети провайдера свичи стоят самые тупые :). Хотел заморозить АРП таблицу, но так как в сети то ктото появляется то исчезает, я постоянно следить за этим не могу, а хотелось бы чтобы был таки доступ к другим машинам.<br>Возможно ли както на FreeBSD 7.0 + PF мониторить ARP пакеты и игнорировать все, где фигурирует 10.1.0.1, а его настоящий МАК занести в таблицу АРП статически?<br> https://slinkov.ru/openforum/vsluhforumID1/82574.html#15 Tue, 14 Aug 2012 11:10:52 GMT &gt; Вот такая беда: <br>&gt; В сетке провайдера завелся вирусняк, который балуется ARP spoofing'ом, обьявляя себя за <br>&gt; 10.1.0.1, т.е. шлюз прова, в итоге инет ложится. В сети провайдера <br>&gt; свичи стоят самые тупые :). Хотел заморозить АРП таблицу, но так <br>&gt; как в сети то ктото появляется то исчезает, я постоянно следить <br>&gt; за этим не могу, а хотелось бы чтобы был таки доступ <br>&gt; к другим машинам.<br>&gt; Возможно ли както на FreeBSD 7.0 + PF мониторить ARP пакеты и <br>&gt; игнорировать все, где фигурирует 10.1.0.1, а его настоящий МАК занести в <br>&gt; таблицу АРП статически?<br><br>В PF есть tagging, капни в эту сторону, поможет )<br> https://slinkov.ru/openforum/vsluhforumID1/82574.html#14 Sun, 11 Jan 2009 15:22:01 GMT &gt;&gt;Как решение попробовал сделать после загрузки статических записей <br>&gt;&gt;ifconfig vlan11 -arp <br>&gt;&gt;так работает, но через некоторое время отваливается вся подсеть, то же <br><br>-arp выключает протокол совсем, поэтому на запросы от шлюза твой роутер молчит, в итоге ничего не работает после таймаута в кэше. Должен быть staticarp, он отвечает, но сам не спрашивает, пользуясь своей таблицей.<br> https://slinkov.ru/openforum/vsluhforumID1/82574.html#13 Thu, 06 Nov 2008 06:52:58 GMT &gt;[оверквотинг удален]<br>&gt;5 минут загрузку этого файла. Работает и так но это не <br>&gt;решение. <br>&gt;<br>&gt;Как решение попробовал сделать после загрузки статических записей <br>&gt;ifconfig vlan11 -arp <br>&gt;так работает, но через некоторое время отваливается вся подсеть, то же <br>&gt;и с <br>&gt;ifconfig vlan11 staticarp <br>&gt;<br>&gt;Что посоветуете? <br><br>Но вот так то должно работать. Вот два дня назад пробовал опять ifconfig vlan11 -arp и так работало больше двух часов, но потом неожидано пинги пропали и повалило <br><br>ping: invalid argument.<br><br>Добавлю еще вот это<br><br>uname -a<br>FreeBSD router.cn.km.ua 7.0-RELEASE FreeBSD 7.0-RELEASE #1: Fri Jun 13 17:26:05 EEST 2008 admin@router.cn.km.ua:/usr/src/sys/i386/compile/GATE i386<br><br>ifconfig vlan11<br>vlan11: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; metric 0 mtu 1500<br>options=3&lt;RXCSUM,TXCSUM&gt;<br>ether 00:07:e9:0a:a4:73<br>inet 172.16.24.124 netmask 0xffffff00 broadcast 172.16.24.255<br>media: Ethernet autoselect (1000baseTX &lt;full-duplex&gt;)<br>status: active<br>vlan: 11 parent interface: em https://slinkov.ru/openforum/vsluhforumID1/82574.html#12 Wed, 05 Nov 2008 13:20:24 GMT &gt;up <br>&gt;Где же топикстартер? <br><br>Да вобщемто сдесь я. arp -s ip mac в скрипте после перезагрузки спасает, но не на долго, а все изза свичей что стоят между мной и шлюзом провайдера. у меня не меняется запись, а вот свичи плющит, они какието совсем тупые. Походу забивается из таблица arp и спасает только отключение вирусоносителя, и ожидание пока не очистится кеш у свичей, насколько я понял<br> https://slinkov.ru/openforum/vsluhforumID1/82574.html#11 Wed, 05 Nov 2008 11:51:54 GMT up<br>Где же топикстартер?<br> https://slinkov.ru/openforum/vsluhforumID1/82574.html#10 Fri, 31 Oct 2008 11:37:02 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;за этим не могу, а хотелось бы чтобы был таки доступ <br>&gt;&gt;&gt;к другим машинам. <br>&gt;&gt;&gt;Возможно ли както на FreeBSD 7.0 + PF мониторить ARP пакеты и <br>&gt;&gt;&gt;игнорировать все, где фигурирует 10.1.0.1, а его настоящий МАК занести в <br>&gt;&gt;&gt;таблицу АРП статически? <br>&gt;&gt;<br>&gt;&gt;можно. man arp <br>&gt;<br>&gt;Эээ... читал. Но насколько я понял, получается что после того как задаеш таблицу через arp, и при этом для интерфейса не прописывать ifconfig -arp, то следующий пришедший ARP для 10.1.0.1 перезатрет то что было задано ранее руками.. но если ifconfig -arp, то тогда в arp вообще надо прописать все IP&lt;&gt;MAC для всех машин сетки 10.<br>&gt;Или где я протупил?<br><br>Ты не правильно понял.<br>если задать arp -s ip mac для конкретного айпи то эта запись затиратся не будет. Т.е если утебя проблема только в том что отваливается шлюз в то время когда кто-то подставляет его ip то arp -s IP_router Mac_router тебя вполне спасает. И добавь эту запись в rc.local чтобы после перезагрузки не вводить вручную. <br><br><br> https://slinkov.ru/openforum/vsluhforumID1/82574.html#9 Fri, 31 Oct 2008 11:16:37 GMT Скрипт <br><br>#!/usr/local/bin/bash<br>/usr/sbin/arp -ad &gt; /dev/null<br>/usr/sbin/arp -f /etc/staticarp/static.mac &gt; /dev/null<br><br>забил в крон через каждые 5 мин. Но тепер после нескольких запусков скрипта он висит в списке процессов как Idle. Не могу понять почему.<br><br>17093 ?? Is 0:00.00 /bin/sh -c /etc/staticarp/rearp.sh &gt; /dev/null<br>17116 ?? I 0:00.00 /usr/local/bin/bash /etc/staticarp/rearp.sh<br>17149 ?? S 0:00.40 /usr/sbin/arp -f /etc/staticarp/static.mac<br> https://slinkov.ru/openforum/vsluhforumID1/82574.html#8 Thu, 30 Oct 2008 08:11:37 GMT Сделал пока так. Создал файл соответствия и забил в крон через каждых 5 минут загрузку этого файла. Работает и так но это не решение.<br><br>Как решение попробовал сделать после загрузки статических записей<br>ifconfig vlan11 -arp <br>так работает, но через некоторое время отваливается вся подсеть, то же и с <br>ifconfig vlan11 staticarp<br><br>Что посоветуете?<br> https://slinkov.ru/openforum/vsluhforumID1/82574.html#7 Mon, 27 Oct 2008 08:02:58 GMT &gt;Arpwatch поможет мониторить... <br><br>У меня та же беда.<br>arp -s то можно использовать, но через 20 минут, опять вся таблица обновляется. можно включить staticarp но так как к сети подключаются все новые клиенты каждый день то кому-то придется сидеть возле роутера постоянно чтобы добавлять новый мак-ип. Можно забить все неиспользуемые нулями, но это то же самое, всеравно комуто-надо сидеть во время подключения возле роутера.<br>