arptables

最新推荐文章于 2024-02-04 19:47:46 发布

HeyITMan

最新推荐文章于 2024-02-04 19:47:46 发布

阅读量1.9k

点赞数

CC 4.0 BY-SA版权

分类专栏：网络文章标签： arp

本文链接：https://blog.youkuaiyun.com/flfblog/article/details/8787885

网络专栏收录该内容

9 篇文章

订阅专栏

本文介绍如何使用arptables配置ARP防火墙，包括下载、安装、配置步骤及常见命令。通过实际案例展示如何防止ARP欺骗。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

arptables的下载页面是：http://sourceforge.net/projects/ebtables/files/
0.0.3.3版本的下载链接：http://downloads.sourceforge.net ... les-v0.0.3-3.tar.gz

下载以后安装：
tar zxvf arptables-v0.0.3-3.tar.gz
cd arptables-v0.0.3-3/
make
make install

生成的命令是/usr/local/sbin/arptables、/usr/local/sbin/arptables-save、/usr/local /sbin/arptables-restore，系统启动脚本/etc/rc.d/init.d/arptables，这个脚本读的配置文件必须放在 /etc/sysconfig/arptables里。

打开arptables服务：chkconfig arptables on

arptables 可以当作是linux下的ARP防火墙

arptables 是一个用户空间，用于管理内核中的ARP规则表，规则检查处理的是ARP数据帧。(arptables 类似 iptable，但比iptables简单，它需要载入内核模块arptable_filter)。

正常情况下，arptable_filter 只有一个表filter ，不指定-t 表名时默认就是filter 表。
filter 表有两个链，一个是IN,表示外面发进来的ARP包；另外一个是OUT ，表示本机发出的ARP包。

INPUT(发送帧的源主机),OUTPUT(本地产生的帧),FORWARD(由桥代码转发的帧).

内建的动作：ACCEPT 放行ARP包；DROP 丢掉ARP包；CONTINUE 继续下一规则;RETURN 不在这个链中继续进行匹配,返回到上一条链的下一条规则.

扩展动作：mangle: mangle ARP包
       --mangle-ip-s IP address
              Mangles Source IP Address to given value.
       --mangle-ip-d IP address
              Mangles Destination IP Address to given value.
       --mangle-mac-s MAC address
              Mangles Source MAC Address to given value.
       --mangle-mac-d MAC address
              Mangles Destination MAC Address to given value.
       --mangle-target target
              Target of ARP mangle operation (DROP, CONTINUE or ACCEPT -- default is ACCEPT).

来自百度百科:

有两类，一类为命令类，包括
-A, --append chain rule-specification追加规则
-D, --delete chain rule-specification删除指定规则
-D, --delete chain rulenum删除指定位置的规则
-I, --insert chain [rulenum] rule-specification插入规杂
-R, --replace chain rulenum rule-specification替换规则
-L, --list [chain]列出规则
-F, --flush [chain]删除所有规则
-Z, --zero [chain]清空所有计数
-N, --new-chain chain新建链
-X, --delete-chain [chain]删除链
-P, --policy chain target指定默认目标
-E, --rename-chain old-chain new-chain重命名链
-h,帮助
另一类为参数
-s, --source [!] address[/mask]源地址
-d, --destination [!] address[/mask]目的地址
-z, --source-hw [!] hwaddr[mask]源mac
-y, --target-hw [!] hwaddr[mask]目的mac
-i, --in-interface [!] name受到这个包的网卡
-o, --out-interface [!] name要发送这个包的网卡
-a, --arhln [!] value[mask]
-p, --arpop [!] value[mask]
-H, --arhrd [!] value[mask]
-w, --arpro [!] value[value]
-j, --jump target跳到目标
-c, --set-counters PKTS BYTES计数
结合一些应用来熟悉arptables

arptables -F 清除filter 所有规则

arptables -L -n 列表filter 所有规则

2. 配置arptables
linux服务器的网关MAC是00:24:51:E9:C7:10，同网段另一台服务器192.168.1.10（主机名是nh-blade-67）的MAC地址是00:17:A4:A8:68:11。

用命令行配置arp防火墙：
在eth0上如果源IP是192.168.1.10，并且源MAC不是00:17:A4:A8:68:11的话，就禁止这个数据桢。

CODE:

/usr/local/sbin/arptables -A INPUT -i eth0 --src-ip 192.168.1.10 --src-mac ! 00:17:A4:A8:68:11 -j DROP

在eth0上如果源MAC不是00:24:51:E9:C7:10（网关的MAC地址），就禁止这个数据桢，这一条针对外网过来的访问。

CODE:

/usr/local/sbin/arptables -A INPUT -i eth0 --src-mac ! 00:24:51:E9:C7:10 -j DROP

注意：添加arp防火墙策略的次序不能错，针对网关MAC地址的语句必须放在最后，否则本网段IP的访问策略不能生效。

把以上策略写入配置文件：
/usr/local/sbin/arptables-save > /etc/sysconfig/arptables