iptables一个设想求解

yuanbo203

谢谢,楼上所说是一个较好的解决办法,不过这样会改变网络的结构的,不过我在一个论坛里看见,结合dchp在接入层做自动mac绑定和在接入层做网关绑定的办法可以解决这个问题,目前正在研究,谢谢上以上各楼及关注过本贴的朋友,谢谢~~~

suyin

换ROUTEOS吧，它能实现MAC自动绑定，很方便。

zhoutao0712

iptables对纯粹的二层数据包和RAW类型的数据包一般不支持。
有个arptables支持ARP过滤，但也只能保护网关本身。

真要杜绝ARP欺骗，必须使用可管理交换机。

但还是有很多攻击不好防的，比如搞个 flood工具，对ISP发起大量DNS请求，或以100M/S的速度对路由器发送数据包，这些你怎么防？？？？？

吾同树

这就好比在一个办公室里面一个冒充可以正当获得和你通话的那个人！当然广播的意思就是他在办公室大叫大喊，你自己堵住耳朵或者逃避他意思并不大！
就7个用户嘛一个一个沟通下！问题解决的很彻底的！

bpxyz

回顶楼：
    如果你的路由器支持IP-MAC绑定，那就把所有的正常IP和MAC全部绑定；然后，如果你的客户机是win，那装个arp防火墙，如果是linux，直接用arp命令绑定网关MAC就好了。

回6楼：
    1、找出有问题的机器，杀毒。
    2、在三层交换机上绑定4段的所有MAC地址。