iptables一个设想求解

liun09

我上的网络是租用的宽带，一共有7个人使用，3M的ADSL，局域网中总是有人ARP攻击，虽然绑定的网关，但很影响网速，基本连网页都打不开，在网上查了一下iptables设置，自己试着配置过，因为是个菜鸟所以不太会，不是上不了网就是防不了ARP攻击没有一点的作用。

请教BBS上各位大虾，如果我想把iptables设置成只和网关（ip是192.168.1.1）通信，而DROP局域网中其它所有计算机的数据包，是否能防住ARP攻击？另外有哪位能给我一个这样的配置的样板吗？我配置过总是出错。

现在我都是攻击路由器，把那个ARP攻击的人用路由的防火墙屏敝上网，不过我们上网的网速依然很慢，郁闷死了。

kernel_core

等高手吧！我也想知道。

cyrus1006

iptables不能解决这个问题。
我个人对ARP攻击的理解：当一台机器要穿越网关访问外网是，它发送广播包对所有机器说：谁拥有IP地址192.168.1.1。此时，如果没有ARP攻击，只有一个机器（真正的网关）回应：我有192.168.1.1。并告诉请求机器正确的MAC地址，那么以后该机器就可以同网关正确通信了。如果存在ARP攻击，那么就会有若干台机器同时相应：我有192.168.1.1！那么请求机器就会随便选择一台机器作为网关去访问外网，当然，这样是访问不了的，但有少数的请求能幸运碰上正确的网关，所以显得访问网络非常之慢。
我建议楼主使用某些免费的查处ARP攻击的软件，查出每个ARP攻击的机器，然后清楚它的病毒。

orphen

你可以尝试用-m mac --src-mac过滤除网关以外的MAC Address。

liun09

嗯，楼上的我去试下，现在ARP病毒或执法官之类的东西真是太泛滥成灾了，郁闷。

yuanbo203

借问一下,如果在三层收到这样的包,应该怎么办?主要是一收到这样的包,vlan4的网关 4.1就是崩掉,不只是本网段的pc无法ping通,就连其它网段的都无法ping通4.1  ,有人说在三层上面做所有客户机与mac的绑定,但是我下面的网络有点大,这样可行性太差,请知道的朋友指点一下

yuanbo203

晕,传的图太小,重来一张

winktv2008

我个人认为ARP协议是局域网内部信任协议。
当一台机器感染ARP时，它将假冒默认网关，声称它是正确的默认网关，对外宣告MAC，宣告的速度比真正的网关快。每隔几秒就会发送一次，让所有的机器无法存储正确的MAC-IP对照表。
在二层协议中，帧交换是使用MAC地址的。
我们可以在计算机终端上使用arp -s 00-10-22-33-44-f3-38 10.20.30.40将正确的默认网关建立对照关系来解决。

如果非要使用iptables防火墙来解决可以使每台机器自成一个广播域。

但问题是你得有8块网卡来隔离。

=====================================================

winktv2008

网络结构图如下：

-----------------------------------------------------------------------------------------
                                                  |
                                                  |
                                             ---------
                                             |          |
                                             ----------
                                   |      |      |     |      |     |     |

yuanbo203

哦,问题是我不是一台电脑冒充网关的mac,而是一台pc向网关发送段网内所有ip的假mac来欺骗网关哦,在三层交换机的arp表里形成的是网段内各所有ip对应一个mac ,这样造成的是网关的崩溃,
如果在网关上面做所有向下的mac绑定,但是我下面的电脑比较多,不方便,所以向请问一下,有没有较好的解决方法,谢谢上面的朋友