Dotaz: Omezeni MAC -IP

Dobry den,docetl jsem se, ze pomoci prikazu napr. arp -s 192.168.100.1 aa:bb:cc:dd:ee:ff se priradi dane IP MAC adresa do ARP tabukly. To je asi v poradku, dale jsem se docetl ze timto zpusobem se "svaze" IP + MAC a klient s jinou MAC nebo jinou IP se nepripoji... Zkousel jsem to tak, ze jsem nadefinoval zaznam do arp tabulky pro moji IP a MAC, potom jsem zmenil IP a vse fungovalo dal... Kde muze byt problem...

Diky za radu, Milan S

Pozor, pomocí arp -s skutečně svážete *konkrétní* IP se zadanou MAC. Ale ostatní IP zůstávají nedotčeny a budou fungovat s libovolnou MAC. Takže pro úplné řešení vašeho problému je třeba ještě navíc nastavit firewall (tj. nejspíš iptables), aby povoloval pouze provoz z vyjmenovaných IP adres (těch, které máte svázané s MAC pomocí arpu)

zalezi na tom, jak je nastavena sit. rek bych, ze jste si neprecetl tu vetu nebo odstavec cely. urcite se tam jeste hovorilo o vypnuti arp pro dane rozhranni/segment a nastaveni pro vsechny pripojene pocitace staticke arp tabulky. takhle kdyz mate povoleny arp a svazanou pouze na jedne stanici jednu ip s jednou mac adresou, tak aspon muzete sitovat, protoze ta stanice bez staticke arp tabulky si muze mac adresy dohledat pouzitim arp a ta prijmajici neprijme pro danou ip adresu zadny jiny paket nez ten s danou statickou mac adresou. a pri posilani odpovedi na prijate ramce/pakety si dokaze ta s jedinym mac-ip zaznamem ve staticke tabulce dohledat potrebnou vazbu pro jinou ip. pokud by to melo fungovat, jak si nejspis predstavujete, tak je potreba jeste nastavit druhy konec spojeni, aby vedel, na kterou mac adresu je prelozena ip adresa v ramci segmentu a zakazat arp na obou stanicich. nicmene z pohledu zabezpeceni jde porad o dost hloupe reseni, protoze budou prijmany ramce(pakety) z jine mac i ip adresy, akorat se nebudou dorucovat odpovedi, protoze ty stroje nebudou vedet, kam je poslat. navic to je mnohdy zbytecnyho otravovani se s nastavovanim pripojenych stanic pro nic. takze pokud mate stroje, kde mate uctovani pro ip adresy, tak na nich svazte ip adresy s mac adresami pro vsechny uctovane i neuctovane stroje a zakazte pripojeni z jinych ip, nez tech, ktere maji zaznam ip-mac. staticke arp tabulky vam dovoli jen polovinu toho co je skutecne potreba pro kompletni omezeni, kdezto iptables/ipchains komplet vse - jinak neuskodi kdyz nastavite oboje (akorat bude ). a u zadavani z shellu bacha u negace v prikazu pro iptables nebo ipchains. bude tam treba \! nejen !, jinak ten ! nejspis sezere readline na expanzi podle historie prikazu