[问题求助]iptables能否判断某种问题数据包后拒绝的功能 [复制链接]

现在比较流行ARP病毒，有一种欺骗方式.是欺骗网关，如以下在网关的.抓包(广告)


QUOTE:23:4.8:30.060287. arp reply 10.38.113.4 is-at 00:11:43:a9:f2:75 .
23:48:30.106108 arp reply 10.38.113.230 is-at 00:.11:43:a9:f2.:75 (        游戏          )
23:48:30.168671 arp reply 10.3.8.113.253 is-at .00:11:43:a9:f2:75     外汇
23:48:30.227252 arp reply 10.3.8.113.4 is-at 00:.11:43:a9:f2:75              汽车

现在临时解决的方法是.网关是对.每个CLIENT进行MAC绑定健康
但是我在想：
iptables能否实现对某个MAC地址在一个时.段内回应多个IP的AR.P数据包后，进行DROP操作呢？--- 印刷
如果行，语句应该怎样写？
谢谢大家讨论。

iptables没有这个功能

我认为 iptables 对 arp 欺骗是没有作用的，即便你禁止了那个mac地址的机器的forward，在局域网内造成的欺骗已经影响了同子网的员工上网

QUOTE:原帖由 tassard 于 2007-10-27 09:31 发表
iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01

这个和你说的需求差不多，在加个源地址匹配就行了

你用静态arp表不能解决arp病毒吗？


我也正在尝试，但好像静态arp表难以防止客户端修改Ip

介绍个软件arpwatch！！！

只能检测，不能防御，还是要配合iptables