在Linux路由上设置IP和MAC绑定,有问题请教：|Linux系统专区人人网,QQ空间,登陆,renren,注册,校内,刷人气

离线yahaba88.

初中三年级

发帖: 2115

C币: -235507

威望: 411

贡献值: 1

银元: -2

铜钱: 4751

人人网人气币: 0

只看楼主倒序阅读使用道具楼主发表于: 2009-05-01

我的实现方法如下：
建立静态IP/MAC捆绑.的方法是：建立/etc/ethe.rs文件，其中包含正确的IP/MAC对应关系，格式如下：服务器
192.168.2.32 08:0..0:4E:B0:24:47.
然后再/.etc/rc.d/rc.local.最后添加：外贸
arp -f
重启系统。。。
这.样即使192.16.8.2.32关机，其它主机盗用192.168.2.32这个地址也无法进行通信。。。          婚庆
原理如下：
如果我们将IP/MAC对应关系建.立为固定的，也就是对那些合法IP地址建立静态的MAC对应关系，那么即使非法用户盗用了IP地址.linux路由器在回应这些IP发出的连接请求时则不会通过arp协议询问其mac地址而是使.用Linux建立.的静态MAC地址、发出应答数据这样盗用IP者则不会得到应答数据从而不能使用网络服务。            杀毒

但是：
如果原使.用者：192.168.2.32. 08:00:4E:B0:24:47，将其IP改为其它.的地址，如192.168.2.24，其仍然可以正常通信。。。外贸
其中部分ARC 表显示如下：
?(192.168.2.24) at .08:00:4E:B0:24:47 [.ether] on eth1.
?(192.168.2.23) at 08:00:4E:B0:.24.:47 [ether] PERM on eth1(广告)
我的意思是：
能不能.限制.当用户将此IP地址改为其它地址时，系统禁止其正常通信。。。(        游戏          )

评价一下你浏览此帖子的感受

分享到 淘江湖新浪 QQ微博 QQ空间开心人人豆瓣网易微博百度鲜果白社会飞信

离线shehongv.

初中三年级

发帖: 2116

C币: -235073

威望: 395

贡献值: 1

银元: -2

铜钱: 4764

人人网人气币: 0

只看该作者沙发发表于: 2010-04-13

我所知道的办法是将整个子网的IP进行一一对应！

离线51.vc.

初中三年级

发帖: 2081

C币: -61510

威望: 378

贡献值: 1

银元: -2

铜钱: 4652

人人网人气币: 0

只看该作者板凳发表于: 2010-04-13

不太明白，能不能详细介绍一下，或推荐点资料，谢谢！
我们正想在软件上实现IP和Mac地址的绑定，还没找到方法。

离线无语心情.

初中三年级

发帖: 2021

C币: -193483

威望: 365

贡献值: 1

银元: -1

铜钱: 4659

人人网人气币: 0

只看该作者地板发表于: 2010-04-13

技巧问题如何在Linux路由上设置IP和MAC绑定？（From Linuxaid)

技巧主题根目录-=>;安全相关-=>;防火墙

技巧作者书生
发表时间 2002-10-13 17:00:46

在有些系统中有这样的需求，希望内部网中的某几个IP地址连接互联网，而又希望这些IP地址不被非法用户盗用。可以通过下面的解决办法实现：
首先使用ipchains或者iptables来设定只允许合法的IP地址连出。
对于合法IP建立IP/Mac捆绑。要讨论这个问题我们首先需要了解ARP协议的工作原理，arp协议是地址解析协议(Address Resolution Protocol)的缩写，其作用及工作原理如下：
在底层的网络通信中，两个节点想要相互通信，必须先要知道源与目标的MAC地址。为了让系统能快速地找到一个远程节点的MAC地址，每一个本地的内核都保存有一个即时的查询表（称为ARP缓存）。ARP中有影射远程主机的IP地址到其对应的MAC地址的一个列表。地址解析协议（ARP）缓存是一个常驻内存的数据结构，其中的内容是由本地系统的内核来管理和维护的。默认的情况下，ARP缓存中保留有最近十分钟本地系统与之通信的节点的IP地址（和对应的MAC地址）。
当一个远程主机的MAC地址存在于本地主机的ARP 缓存中，转换远程节点的IP地址为MAC地址不会遇到问题。然而在许多情况下，远程主机的MAC地址并不存在于本地的ARP缓存中，系统会怎么处理呢？在知道一个远程主机的IP地址，但是MAC地址不在本地的ARP缓存中的时候，以下的过程用来获取远程节点的MAC地址：本地主机发送一个广播包给网络中的所有的节点，询问是否有对应的IP地址。一个节点（只有一个）会回答这个ARP广播信息。在回应的信息包里就会包含有这个远程主机的MAC地址。在收到这个返回包后，本地节点就会在本地ARP缓存中记录远程节点的MAC地址。
如果我们将IP/MAC对应关系建立为固定的，也就是对那些合法IP地址建立静态的MAC对应关系，那么即使非法用户盗用了IP地址linux路由器在回应这些IP发出的连接请求时则不会通过arp协议询问其mac地址而是使用Linux建立的静态MAC地址、发出应答数据这样盗用IP者则不会得到应答数据从而不能使用网络服务。
建立静态IP/MAC捆绑的方法是：建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下：
192.168.2.32 08:00:4E:B0:24:47
然后再/etc/rc.d/rc.local最后添加：
arp -f
即可

2.4内核的iptables可以对IP和Mac同时进行限定，使用该功能对合法IP的规则同时限定IP地址和Mac地址即可。

离线tnka.

初中三年级

发帖: 2076

C币: -60326

威望: 404

贡献值: 1

银元: -3

铜钱: 4803

人人网人气币: 0

只看该作者 4楼发表于: 2010-04-13

楼主的情况时符合道理的，只有在arp缓存里有的才不会进行arp，
如果.24没有和其他mac地址绑定，那还是要进行arp确定它的mac地址的。

这种方法本身就有缺陷，最好是在switch上进行类似的设定。

就是交换机端口绑定mac或者ip地址

离线lywl88.

初中三年级

发帖: 2087

C币: -60505

威望: 348

贡献值: 1

银元: -2

铜钱: 4551

人人网人气币: 0

只看该作者 5楼发表于: 2010-04-13

[quote]原帖由 "bearzhang"]我所知道的办法是将整个子网的IP进行一一对应！[/quote 发表：

一一对应是可以的，可将未用的IP地址全绑上00:00:00:00:00:00。
但这种办法好象ethers 文件中IP与MAC对应的行数不能起过300行，不知有没有办法解决


	http://www.csuboy.com 访问内容超出本站范围，不能确定是否安全


	关闭您还没有登录，快捷通道只有在登录后才能使用。立即登录还没有帐号？赶紧注册一个


	关闭选中1篇全选

帖子

[问题求助]在Linux路由上设置IP和MAC绑定,有问题请教： [复制链接]