在有些系統中有這樣的需求,希望內部網中的某幾個IP地址串連互連網,而又希望這些IP地址不被非法使用者盜用。可以通過下面的解決辦法實現:
- 首先使用ipchains或者iptables來設定只允許合法的IP地址連出。
對於合法IP建立IP/Mac捆綁。要討論這個問題我們首先需要瞭解ARP協議的工作原理,arp協議是位址解析通訊協定(Address Resolution Protocol)的縮寫,其作用及工作原理如下:
在底層的網路通訊中,兩個節點想要相互連信,必須先要知道源與目標的MAC地址。為了讓系統能快速地找到一個遠程節點的MAC地址,每一個本地的核心都儲存有一個立即的查詢表(稱為ARP緩衝)。ARP中有影射遠程主機的IP地址到其對應的MAC地址的一個列表。位址解析通訊協定(ARP)緩衝是一個常駐記憶體的資料結構,其中的內容是由本地系統的核心來管理和維護的。預設的情況下,ARP緩衝中保留有最近十分鐘本地系統與之通訊的節點的IP地址(和對應的MAC地址)。
當一個遠程主機的MAC地址存在於本地主機的ARP 快取中,轉換遠程節點的IP地址為MAC地址不會遇到問題。然而在許多情況下,遠程主機的MAC地址並不存在於本地的ARP緩衝中,系統會怎麼處理呢?在知道一個遠程主機的IP地址,但是MAC地址不在本地的ARP緩衝中的時候,以下的過程用來擷取遠程節點的MAC地址:本地主機發送一個廣播包給網路中的所有的節點,詢問是否有對應的IP地址。一個節點(只有一個)會回答這個ARP廣播資訊。在回應的資訊包裡就會包含有這個遠程主機的MAC地址。在收到這個返回包後,本地節點就會在本地ARP緩衝中記錄遠程節點的MAC地址。
如果我們將IP/MAC對應關係建立為固定的,也就是對那些合法IP地址建立靜態MAC對應關係,那麼即使非法使用者盜用了IP地址linux路由器在回應這些IP發出的串連請求時則不會通過arp協議詢問其mac地址而是使用Linux建立的靜態MAC地址、發出應答資料這樣盜用IP者則不會得到應答資料從而不能使用網路服務。
建立靜態IP/MAC捆綁的方法是:建立/etc/ethers檔案,其中包含正確的IP/MAC對應關係,格式如下:
192.168.2.32 08:00:4E:B0:24:47
然後再/etc/rc.d/rc.local最後添加:
arp -f
即可
- 2.4核心的iptables可以對IP和Mac同時進行限定,使用該功能對合法IP的規則同時限定IP地址和Mac地址即可。
