zabawy z arp
Jacek Konieczny
jajcus w bnet.pl
Pon, 18 Kwi 2005, 10:53:21 CEST
On Fri, Apr 15, 2005 at 10:41:18AM +0200, Karol Kreński wrote:
> Witam,
>
> #wszystko zablokuj
> [mimooh w jeden mimooh]$ cat null_ethers
> 192.168.23.2 00:00:00:00:00:00
> 192.168.23.3 00:00:00:00:00:00
[...]
> #a tym pozwól ze mną rozmawiać
> [mimooh w jeden mimooh]$ cat /etc/ethers
> 192.168.23.4 00:02:44:57:B7:4E
> 192.168.23.5 00:C0:26:A8:AF:90
[...]
> arp -f null_ethers
> arp -f /etc/ethers
>
> W wyniku powyższego powstaje tablica arp z kompletem adresów IP/MAC i
> tylko te nadpisywane z /etc/ethers mogą się komunikować z serwerem.
> Czy taka metoda blokowania IP jest zgodna ze sztuką?
Jest to częste rozwiązanie, ale dobre tylko do małych (czy małej ilości)
sieci. W pewnym momencie po prostu tablica ARP staje się zbyt duża,
a miejsce w niej jest marnowane przez "bezużyteczne" wpisy 00:00:00:00:00:00.
> Widziałem pomysł
> żeby blokować na firewallu ale ta metoda wydaje mi się prostsza.
Blokowanie na firewallu jest, szczególnie w dużych sieciach, jeszcze
gorsze, bo reguły iptables są przeglądane liniowo, co jest strasznie
nieskalowalne. Już sieć 100 komputerów wymaga sprawdzenia ponad 100
regułek dla każdego pakietu.
W małych sieciach zarówno zabawa z ARP, jak i z iptables jest ok.
iptables odpada już w średnich.
U siebie używam ARP + routing. Komputerom "aktywnym" przypisuję adresy
MAC do IP normalnie przez static-arp (/etc/ethers) i dodaję trasę do
tablicy routingu (można każdemu adresowi IP osobno, ale jak jest ich
dużo, to można agregować w większe "podsieci"). Dodatkowo daję trasę
"unreachable" na całą podsieć, tak żeby pozostałe adresy były
nieosiągalne. Zawsze wybierana jest trasa najdokładniejsza, więc aktywne
komputery działają.
Pozdrowienia,
Jacek
Więcej informacji o liście dyskusyjnej pld-users-pl