arp

[Dan Lukes]

Martin Horcicka wrote:

> > > Potreboval bych udelat arp firewall. Tak, aby mi z interni site (za
> > > maskaradou) ven nemohl posilat pakety pocitac s nezaregistrovanou
> > > sitovou kartou.
> > > Nevite prosim nekdo kudy na to?
> >
> >       ARP firewall nevim, ale stejny problem resime tak, ze mame prideleny
> > statisky ARP zaznam KAZDE regulerne mozne adrese - tem, co se opravdu
> > vyskytuji tak spravny, tem co patri nepridelenym IP pak konstatni,
> > vymysleny.

	Pepo, ten upraveny BOOTP/DHCP mas na
ftp://ftp.freebsd.cz/incoming/bootpd-2.4.3-Dan.tgz
	Jsou to zdrojaky, melo by stacit "make".

	Funkci "don't modify arp table" ziskas tak, ze to spustis s optionem
-a.
 
> A tohle funguje? Mel jsem dojem, ze jadro kouka do ARP tabulky jen kdyz
> skutecne hleda MAC adresu, coz bych pri prijimani paketu neocekaval. Takze
> bych spis cekal, ze tohle reseni zpusobi jen to, ze pakety sice projdou
> smerem ven, ale uz ne nazpatek 

	Skutecne ano. To ale pro vetsinu pripadu staci. Malokdo vydrzi
dlouhodobe komunikovat vyhradne jednosmerne ...

> (cehoz lze dosahnout efektivneji nastavenim
> statickych ARP zaznamu pro existujici IP adresy a zakazanim ve firewallu
> obema smery pro neexistujici).

	To ti resi problem komunikace z nepridelenych IP adres - nikoli vsak IP
komunikace z neschvalenych sitovych karet, ktere si nekdo napevno
nastavi na adresu pridelenou (a nejde jen o to, ze si nekdo vymeni
sitovku - jde o to, ze proste prijde nekdo novy a pripoji si pocitac).

	Jinak se ale neda spolehnout na bezpecnost takoveho reseni - u dnesnich
karet jde uz MAC menit vetsinou zcela bez omezeni, takze utocnik jiz
nekrade IP adresu, ale MAC (a IP uz mu prideli DHCP/BOOTP).

						Dan

-- 
Dan Lukes            tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of info.nic.cz, www.freebsd.cz
AKA: dan at nic.cz, dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz