Блокировать ARP-запросы (или широковещательные сообщения, если это возможно) от определенного узла в подсети

мой поставщик интернет-услуг предоставляет имя пользователя и пароль для аутентификации, а также регистрирует MAC-адрес клиента для аутентификации.

Я обеспокоен тем, что кто-то злоупотребляет моим соединением, пока я его не использую. Имена пользователей легко угадать (клиенты не могут изменить имена пользователей, только пароли могут быть изменены), и если кто-то найдет MAC-адрес и пароль, они могут использовать мое соединение.

теперь интернет-провайдер не использует частные VLAN, поэтому MAC-адреса легко получить. Простая ARP трансляция запросы от хоста в моей подсети покажут мой MAC, и я не полагаюсь на пароль, потому что страница аутентификации не использует HTTPS. Итак, мои пароли отправляются в виде обычного текста.

в этом сценарии я хочу заблокировать/отбросить / отклонить запрос ARP (или любые широковещательные запросы) от любого хоста в моей подсети, но шлюза.

Я посмотрел этот вопрос и вопрос но OP пытался блокировать все ARP запросы. Конечно, это плохая идея, потому что тогда я не получу никакого интернет-трафика от шлюза. Я просто хочу заблокировать ARP-запрос (если возможно, любой широковещательный запрос) от любого случайного хоста в моей подсети, но разрешать широковещание/ARP из моего шлюза.

Я использую OpenWrt в беспроводном маршрутизаторе. Итак, я думаю, что решения Linux будут работать, и если это возможно, пожалуйста, также предоставьте решение для Windows.

5
задан Community
источник

1 ответов

я достиг этого требования в 2-х способов на устройствах Linux. Я все еще ищу способы достичь этого на устройствах Windows.

  1. введя статическую запись ARP для моего шлюза, а затем отключив ARP.
  2. используя arptable

Первый Способ

ip neighbor add 172.xx.xxx.1 lladdr 84:xx:xx:xx:xx:80 nud permanent dev eth0

выше команды должен ip-full пакет в системах OpenWrt. eth0 мой WAN-интерфейс. Если для шлюза уже есть запись, использование:

ip neighbor replace 172.xx.xxx.1 lladdr 84:xx:xx:xx:xx:80 nud permanent dev eth0

теперь отключите ARP. используйте любую из команд.

ip link set dev eth0 arp off
ifconfig eth0 -arp

включить позже, использовать:

ip link set dev eth0 arp on
ifconfig eth0 arp

Второй Способ

этот использует arptables пакета. Во-первых, я позволил моим воротам. Тогда я также позволил ARP в моей локальной сети (br-lan интерфейс) и, наконец, заблокировал все другие ARP

arptables -A INPUT -s 172.xx.xxx.1 -j ACCEPT
arptables -A INPUT -i br-lan -j ACCEPT
arptables -P INPUT DROP
0
отвечен Sourav Ghosh 2018-10-29 11:31:33
источник

Другие вопросы broadcast firewall iptables networking router