arptables

本文介绍如何使用arptables配置ARP防火墙,包括下载、安装、配置步骤及常见命令。通过实际案例展示如何防止ARP欺骗。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

arptables的下载页面是:http://sourceforge.net/projects/ebtables/files/
0.0.3.3版本的下载链接:http://downloads.sourceforge.net ... les-v0.0.3-3.tar.gz

下载以后安装:
tar zxvf arptables-v0.0.3-3.tar.gz
cd arptables-v0.0.3-3/
make
make install

生成的命令是/usr/local/sbin/arptables、/usr/local/sbin/arptables-save、/usr/local /sbin/arptables-restore,系统启动脚本/etc/rc.d/init.d/arptables,这个脚本读的配置文件必须放在 /etc/sysconfig/arptables里。                     

打开arptables服务:chkconfig arptables on

arptables 可以当作是linux下的ARP防火墙

arptables 是一个用户空间,用于管理内核中的ARP规则表,规则检查处理的是ARP数据帧。(arptables 类似 iptable,但比iptables简单,它需要载入内核模块arptable_filter)。

正常情况下,arptable_filter 只有一个表filter ,不指定-t 表名 时默认就是filter 表。
       filter 表有两个链,一个是IN,表示外面发进来的ARP包;另外一个是OUT ,表示本机发出的ARP包。

      INPUT(发送帧的源主机),OUTPUT(本地产生的帧),FORWARD(由桥代码转发的帧).

       内建的动作:ACCEPT 放行ARP包;DROP 丢掉ARP包;CONTINUE 继续下一规则;RETURN 不在这个链中继续进行匹配,返回到上一条链的下一条规则.

扩展动作:mangle: mangle ARP包
       --mangle-ip-s IP address
              Mangles Source IP Address to given value.
       --mangle-ip-d IP address
              Mangles Destination IP Address to given value.
       --mangle-mac-s MAC address
              Mangles Source MAC Address to given value.
       --mangle-mac-d MAC address
              Mangles Destination MAC Address to given value.
       --mangle-target target
              Target of ARP mangle operation (DROP, CONTINUE or ACCEPT -- default is ACCEPT).

来自百度百科:

有两类,一类为命令类,包括
-A, --append chain rule-specification追加规则
-D, --delete chain rule-specification删除指定规则
-D, --delete chain rulenum删除指定位置的规则
-I, --insert chain [rulenum] rule-specification插入规杂
-R, --replace chain rulenum rule-specification替换规则
-L, --list [chain]列出规则
-F, --flush [chain]删除所有规则
-Z, --zero [chain]清空所有计数
-N, --new-chain chain新建链
-X, --delete-chain [chain]删除链
-P, --policy chain target指定默认目标
-E, --rename-chain old-chain new-chain重命名链
-h,帮助
另一类为参数
-s, --source [!] address[/mask]源地址
-d, --destination [!] address[/mask]目的地址
-z, --source-hw [!] hwaddr[mask]源mac
-y, --target-hw [!] hwaddr[mask]目的mac
-i, --in-interface [!] name受到这个包的网卡
-o, --out-interface [!] name要发送这个包的网卡
-a, --arhln [!] value[mask]
-p, --arpop [!] value[mask]
-H, --arhrd [!] value[mask]
-w, --arpro [!] value[value]
-j, --jump target跳到目标
-c, --set-counters PKTS BYTES计数
结合一些应用来熟悉arptables

arptables -F 清除filter 所有规则

arptables -L -n 列表filter 所有规则


2. 配置arptables
linux服务器的网关MAC是00:24:51:E9:C7:10,同网段另一台服务器192.168.1.10(主机名是nh-blade-67)的MAC地址是00:17:A4:A8:68:11。

用命令行配置arp防火墙:
在eth0上如果源IP是192.168.1.10,并且源MAC不是00:17:A4:A8:68:11的话,就禁止这个数据桢。

CODE:
/usr/local/sbin/arptables -A INPUT -i eth0 --src-ip 192.168.1.10 --src-mac ! 00:17:A4:A8:68:11 -j DROP

在eth0上如果源MAC不是00:24:51:E9:C7:10(网关的MAC地址),就禁止这个数据桢,这一条针对外网过来的访问。

CODE:
/usr/local/sbin/arptables -A INPUT -i eth0 --src-mac ! 00:24:51:E9:C7:10 -j DROP

注意:添加arp防火墙策略的次序不能错,针对网关MAC地址的语句必须放在最后,否则本网段IP的访问策略不能生效。

把以上策略写入配置文件:
/usr/local/sbin/arptables-save > /etc/sysconfig/arptables

### 下载并安装 arptables 对于 Turbolinux 10.5 和 11 版本,arptables 命令已经被集成到系统中[^1]。如果使用的不是这两个版本或者想要从源码安装,则可以从官方网站或其他可信资源获取最新版的 arptables 源代码。 #### 使用包管理器安装 在许多现代 Linux 发行版上,可以通过系统的包管理器来轻松安装 arptables。例如,在基于 Red Hat 的发行版(如 CentOS 或 Fedora),可以使用 yum 安装: ```bash yum install arptables ``` 而在 Debian 及其衍生品(如 Ubuntu)则可采用 apt-get 方式来进行安装: ```bash apt-get update && apt-get install arptables ``` #### 编译安装 当需要特定功能或是希望获得最新的特性时,可以选择编译安装的方式。这通常涉及到下载 tarball 文件解压后按照 README 中给出指示完成构建过程。一般流程如下所示: 1. 访问官方站点或者其他可靠的地方找到适合当前平台架构的压缩文件; 2. 将下载好的 .tar.gz 文件放置在一个合适的位置比如 `/usr/local/src` 目录下; 3. 解压缩该档案,并进入相应的目录执行配置脚本以及 make 命令进行编译链接操作;最后通过 `make install` 把程序复制到指定位置以便全局调用。 需要注意的是,为了使 arptables 正常运作,还需要加载名为 **arptable_filter** 的内核模块[^3]。可通过下面这条指令确认此模块已被激活: ```bash lsmod | grep arptable_filter ``` 如果没有看到任何输出结果表示尚未装载成功,此时应该手动将其加入内存之中: ```bash modprobe arptable_filter ``` 为了让上述更改永久生效,建议编辑 `/etc/modules-load.d/` 下的相关配置文档以确保每次启动都能自动挂载必要的驱动组件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值