существует утилита, которой можно ловить arp пакеты
Мне необходимо заблокировать arp трафик по всем ip кроме 192.168.111.66 по mac адресу
(Просьба не спрашивать - какого чёрта вообще так получилось - наследство рукожоповых)
Пока проблема выглядит вот так:
arping 192.168.111.234
ARPING 192.168.111.234
60 bytes from 00:0f:f8:d7:88:40 (192.168.111.234): index=0 time=488.000 usec
60 bytes from 00:0f:f8:d7:88:40 (192.168.111.234): index=1 time=2.746 msectcpdump:
16:01:00.443400 ARP, Request who-has 192.168.111.234 tell dc.sds.ru, length 28
16:01:00.462624 ARP, Reply 192.168.111.234 is-at 00:0f:f8:d7:88:40 (oui Unknown), length 46Есть утилита arptables, которая может разрулить данный вопрос
arptables -A INPUT -s ! 192.168.111.66 --source-mac 00:0f:f8:d7:88:40 -j DROP
смотрю, что получилось
arptables -L -v
Chain INPUT (policy ACCEPT 186K packets, 5205K bytes)
-j DROP -i any -o any ! -s 192.168.111.66 --src-mac 00:0f:f8:d7:88:40 , pcnt=0 -- bcnt=0Chain OUTPUT (policy ACCEPT 6421 packets, 180K bytes)
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
Но после этой команды, arp понги с 192.168.111.234 и 00:0f:f8:d7:88:40 не перестают идти.
Что я делаю не так?
> arptables -A INPUT -s ! 192.168.111.66 --source-mac 00:0f:f8:d7:88:40 -j DROP
> Но после этой команды, arp понги с 192.168.111.234 и 00:0f:f8:d7:88:40 не
> перестают идти.
> Что я делаю не так?Начни с
arptables -A INPUT -s 192.168.111.234 --source-mac 00:0f:f8:d7:88:40 -j DROP
, плавно переходи к
arptables -A INPUT -s 192.168.111.66 -j ACCEPT
arptables -A INPUT --source-mac 00:0f:f8:d7:88:40 -j DROP
arptables -A INPUT -s 192.168.111.234 -j DROP
>> arptables -A INPUT -s ! 192.168.111.66 --source-mac 00:0f:f8:d7:88:40 -j DROP
>> Но после этой команды, arp понги с 192.168.111.234 и 00:0f:f8:d7:88:40 не
>> перестают идти.
>> Что я делаю не так?
> Начни с
> arptables -A INPUT -s 192.168.111.234 --source-mac 00:0f:f8:d7:88:40 -j DROP
> , плавно переходи к
> arptables -A INPUT -s 192.168.111.66 -j ACCEPT
> arptables -A INPUT --source-mac 00:0f:f8:d7:88:40 -j DROP
> arptables -A INPUT -s 192.168.111.234 -j DROPДа, кстати пинги не перестают идти, даже если вот так:
arptables -A INPUT --source-mac 00:0f:f8:d7:88:40 -j DROP
icmp пакеты перестают идти на 192.168.111.66, а вот arping не перестает
> Но после этой команды, arp понги с 192.168.111.234 и 00:0f:f8:d7:88:40 не перестают идти.так и не перестанут же в любом случае - канальный уровень osi layer2
>> Но после этой команды, arp понги с 192.168.111.234 и 00:0f:f8:d7:88:40 не перестают идти.
> так и не перестанут же в любом случае - канальный уровень osi
> layer2to 1, ща проверю, завалили меня...
а зачем тогда вообще эта arptables ? Она не умеет ловить Reply? Зачем ей тогда параметр opcode, где есть значение параметра Reply?, которое как раз это и должно делать судя по манам...
>>> Но после этой команды, arp понги с 192.168.111.234 и 00:0f:f8:d7:88:40 не перестают идти.
>> так и не перестанут же в любом случае - канальный уровень osi
>> layer2
> to 1, ща проверю, завалили меня...
> а зачем тогда вообще эта arptables ? Она не умеет ловить Reply?
> Зачем ей тогда параметр opcode, где есть значение параметра Reply?, которое
> как раз это и должно делать судя по манам...ipsentinel может это для блокировки подойдёт?
>>>> Но после этой команды, arp понги с 192.168.111.234 и 00:0f:f8:d7:88:40 не перестают идти.
>>> так и не перестанут же в любом случае - канальный уровень osi
>>> layer2
>> to 1, ща проверю, завалили меня...
>> а зачем тогда вообще эта arptables ? Она не умеет ловить Reply?
>> Зачем ей тогда параметр opcode, где есть значение параметра Reply?, которое
>> как раз это и должно делать судя по манам...
> ipsentinel может это для блокировки подойдёт?Кажется должно помочь, буду пробовать завтра утром. Спасибо.