Updated 24.06.2022
FreeBSD
Всё ниже описаное происходило на FreeBSD 8.0 Release.
static arp позволяет вручную задавать записи соответствия IP и MAC. В обычном режиме работает так называемый “динамический” arp, записи о котором обновляются каждые 20 минут. Это значение можно посмотреть так:
#sysctl net.link.ether.inet.max_age
а изменить вот так:
# sysctl net.link.ether.inet.max_age=10
net.link.ether.inet.max_age: 1200 -> 10
Теперь вернёмся к static arp. Мы будем настраивать так, что бы только избранные пары IP-MAC могли общаться с нашим сервером. static arp включается на каждой сетевой карте отдельно. Что бы его включить делаем так:
#ifconfig le0 staticarp
Что бы посмотреть, действительно ли у нас всё применилось, выполним команду:
# ifconfig le0
le0: flags=88843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,STATICARP> metric 0 mtu 1500
options=8
ether 00:0c:32:8e:d5:50
inet 10.10.10.10 netmask 0xffffff00 broadcast 10.10.10.255
media: Ethernet autoselect
status: active
Наличие слова STATICARP в угловых скобках говорит о том, что мы сделали всё верно. Теперь можно переходить к составлению пар IP-MAC. Создаём файл /usr/local/etc/arp.list такого содержания (допускаются комментарии через ‘#‘):
10.10.10.10 00:0c:32:8e:d5:50 pub
10.10.10.111 00:15:46:fb:44:f2 pub
10.10.10.49 00:1d:77:7b:40:54 pub
#10.10.10.33 00:02:34:66:f9:97 pub
то есть сопоставляем IP – MAC. После этого нужно очистить текущую таблицу arp и загрузить новую, из файла. Если вы находитесь непосредственно у сервера, на консоле, то волноваться нечего, ибо в случае чего можно вернуть всё обратно. Но если же вы далеко и подключены через ssh, будьте осторожны и внимательны, не забудьте добавить все нужные IP и MAC.
Теперь переходим собственно к команде очистки и наполнения arp-таблицы:
#((arp -a -d && arp -f /usr/local/etc/arp.list ) || ifconfig le0 -staticarp) &
Я на всякий случай добавил отключение staticarp, если что-то пойдёт не так. Запускать нужно именно в фоне, ибо в момент запуска очищается таблица и вас выбрасывает из сессии. Поэтому рекомендую работать в “скринах”, что бы потом просто подключиться к сессии.
После этого смотрим arp-таблицу:
$arp -a
freebsd80 (10.10.10.10) at 00:0c:32:8e:d5:50 on le0 permanent
skeletor (10.10.10.111) at 00:15:46:fb:44:f2 on le0 permanent published
? (10.10.10.49) at 00:1d:77:7b:40:54 on le0 permanent published
Как видим, у нас только те адреса, которые указаны в файле.
Что бы после ребута у нас ничего не слетало, сделаем следующее. В /etc/rc.conf в строку, где определяется адрес интерфейса добавим параметр staticarp:
ifconfig_le0="10.10.10.10/24 staticarp"
ну и создадим стартовый скрипт для очистки и наполнения arp-таблицы:
$ cat /usr/local/etc/rc.d/static_arp.sh
#!/bin/sh
((arp -a -d && arp -f /usr/local/etc/arp.list ) || ifconfig le0 -staticarp)
Сделаем его исполняемым и поместим в папку /usr/local/etc/rc.d. После этого можно полноценно работать. При добавлении нового адреса нет надобности использовать данный скрипт, ибо он обрывает все соединения. Лучше всего добавлять вручную (естественно, что не забываем добавлять его и в файл!). Делается это так :
#arp -s 10.10.10.33 00:01:52:8d:f9:54 pub
Linux
Выключаем arp на интерфейсе:
# ip link set eth0 arp off
Добавляем запись arp:
# ip neighbor add 10.0.0.1 lladdr aa:bb:cc:dd:ee:ff dev eth0
Или можно использовать arp -f <filename> для чтения из файла
Solaris
Выключаем arp на интерфейсе:
# ipadm set-ifprop -p arp=off net0
Добавляем запись arp:
# arp -s 10.1.2.1 00:10:20:30:40:50 permanent pub
Или можно использовать arp -f <filename> для чтения из файла
29 коментарів “Static ARP защита от подмены IP и MAC.”
Лучше сделать по другому. Static arp не поднимать, а грузить таблицу используемых адресов при старте системы через arp -f /etc/arptable. А трафик со свободных адресов на 80 порт заворачивать в страницу с ругательством и угрозами юзеру административными карами ;).
Лучше сделать как написано в статье. Adsh, видимо, невнимательно читал статью, то что он предлагает совершенно не спасает от подмены адресов. В начале статьи сказано правильно, через 20 минут или если адрес свободен (ПК с этим адресом выключен) его может использовать любой. Проверил лично – надо делать именно так, как пишут в статье.
При выполнении команды arp -f /etc/arptable подменить уже прописанный адрес нельзя, можно только поставить свободный адрес и увидеть в броузере ругательство администрации сети.
Подмена делается так: сначала полностью очищается таблица (выполняем ard -a -d) затем заполняем новыми значениями(arp -f /path/to/file).
Здравствуйте!
Не срабатывает у меня скрипт! Я правильно сделал: создал файл static_arp.sh в /usr/local/etc/rc.d – с таким содержимым: #!/bin/sh
((arp -a -d && arp -f /usr/local/etc/arp.list ) || ifconfig em1 -staticarp), но пред этим ввел строчку #cat /usr/local/etc/rc.d/static_arp.sh
Добрый день.
Строка #cat /usr/local/etc/rc.d/static_arp.sh в скрипте не нужна. Скрипт должен начинаться со строки #!/bin/sh
Я в скрипт её и не вводил, а просто выполнил, но скрипт не сработал.
Скрипт работает всегда, так как в нём есть условие – при успешном выполнении команды arp и при не успешном. Сравните вывод
arp -a, ifconfig XX
до и после выполнения скрипта. Вы вообще включили static arp на сетевой?
на сетевой карте включен staticarp. А для чего строчка “$ cat /usr/local/etc/rc.d/static_arp.sh”,
это команда, которая выводит содержимое файла /usr/local/etc/rc.d/static_arp.sh
У меня FreeBSD 7.2
А static arp надо включать и на сетевой которая смотрит в инет и на сетевой которая смотрит в локалку? Или только на той которая смотрит в локалку?
Нужно включать там, где планируете использовать эту защиту.
Cкрипт сработал, но как сделать так чтобы вносились записи в arp.list?
В статье написано “Создаём файл /usr/local/etc/arp.list такого содержания…”
Выходит надо в ручную вводить IP+MAC? Потому что через “#arp -s 10.10.2.12 00:01:52:8d:f9:54 pub” не хочет записывать в файл arp.list
arp -s добавляет статическую запись в arp-таблицу, а не в файл.
Артур – вы вообще читали статью? Складывается впечатление, что прочли только заголовок. Прочтите статью, там всё расписано для самых-самых маленьких.
Статью читал, но всеравно не понял как сделать чтобы записать в файл arp.list! Обьясните пожалуйста!
Записи в файл добавляются вручную
а для 8,2 точно надо || ifconfig le0 -staticarp или все таки || ifconfig le0 staticarp
без знака –
staticarp – включает поддержку static arp на заданном интерфейсе
-staticarp – отключает поддержку static arp на заданном интерфейсе
А вы решайте, что вам нужно. Ниже в статье написано, почему добавлен “-“.
Спасибо за статейку.
файл на исполнение chmod +X
стоит ещё отметить возможности /etc/rc.conf
static_arp_pairs=”vlan1 vlan11″
static_arp_vlan1=”192.168.1.1 01:02:03:30:20:10″
static_arp_vlan11=”192.168.11.1 30:20:10:01:02:03″
Не знал о таких возможностях
Может я чего не понял, но после
((arp -a -d && arp -f /usr/local/etc/arp.list ) || ifconfig le0 -staticarp) &
сетевая возвращается к “динамическому” arp.
Смысл тогда в таком скрипте?
Неправильно.
Вторая част скрипта (та, которая после ||) выполняется ТОЛЬКО ТОГДА, когда первая часть завершилась неудачей. Видимо у вас первая часть отрабатывается с ошибкой – то ли файла такого нет, то ошибка в команде.
и при этом моя arp таблица из файла заносится в arp?
странно…
Если удачно – то заноситься, если неудачно, то включается dynamic arp
заработало, прикол был в том, что список формируется скриптом из dhcp.conf и в нескольких строчках попадали лишние символы, а так как список очень большой, то увидеть ошибки не сразу удалось.
Но возникла другая проблема. При указании статики на интерфейсе перестает авторизировать пользователей squid (используется ntlm – авторизация, пользователи в Active Directory). Записи для домен контроллеров в arp-у есть.
Проблема значит в другом. Проверьте правильный ли arp для AD. Авторизация здесь не причём.