arp
Dan Lukes
dan at gw.nic.cz
Tue May 1 02:17:47 CEST 2001
Martin Horcicka wrote:
> > > Potreboval bych udelat arp firewall. Tak, aby mi z interni site (za
> > > maskaradou) ven nemohl posilat pakety pocitac s nezaregistrovanou
> > > sitovou kartou.
> > > Nevite prosim nekdo kudy na to?
> >
> > ARP firewall nevim, ale stejny problem resime tak, ze mame prideleny
> > statisky ARP zaznam KAZDE regulerne mozne adrese - tem, co se opravdu
> > vyskytuji tak spravny, tem co patri nepridelenym IP pak konstatni,
> > vymysleny.
Pepo, ten upraveny BOOTP/DHCP mas na
ftp://ftp.freebsd.cz/incoming/bootpd-2.4.3-Dan.tgz
Jsou to zdrojaky, melo by stacit "make".
Funkci "don't modify arp table" ziskas tak, ze to spustis s optionem
-a.
> A tohle funguje? Mel jsem dojem, ze jadro kouka do ARP tabulky jen kdyz
> skutecne hleda MAC adresu, coz bych pri prijimani paketu neocekaval. Takze
> bych spis cekal, ze tohle reseni zpusobi jen to, ze pakety sice projdou
> smerem ven, ale uz ne nazpatek
Skutecne ano. To ale pro vetsinu pripadu staci. Malokdo vydrzi
dlouhodobe komunikovat vyhradne jednosmerne ...
> (cehoz lze dosahnout efektivneji nastavenim
> statickych ARP zaznamu pro existujici IP adresy a zakazanim ve firewallu
> obema smery pro neexistujici).
To ti resi problem komunikace z nepridelenych IP adres - nikoli vsak IP
komunikace z neschvalenych sitovych karet, ktere si nekdo napevno
nastavi na adresu pridelenou (a nejde jen o to, ze si nekdo vymeni
sitovku - jde o to, ze proste prijde nekdo novy a pripoji si pocitac).
Jinak se ale neda spolehnout na bezpecnost takoveho reseni - u dnesnich
karet jde uz MAC menit vetsinou zcela bez omezeni, takze utocnik jiz
nekrade IP adresu, ale MAC (a IP uz mu prideli DHCP/BOOTP).
Dan
--
Dan Lukes tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of info.nic.cz, www.freebsd.cz
AKA: dan at nic.cz, dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list