在有些体系中有这样的需求,期望内部网中的某几个IP地址衔接互联网,而又期望这些IP地址不被不合法用户盗用。能够经过下面的解决办法完成:
首要运用ipchains或许iptables来设定只允许合法的IP地址连出。
关于合法IP树立IP/Mac绑缚。要评论这个问题咱们首要需求了解ARP协议的作业原理,arp协议是地址解析协议(Address Resolution Protocol)的缩写,其效果及作业原理如下:
在底层的网络通讯中,两个节点想要彼此通讯,必须先要知道源与方针的MAC地址。为了让体系能快速地找到一个长途节点的MAC地址,每一个本地的内核都保存有一个即时的查询表 (称为ARP缓存)。ARP中有暗射长途主机的IP地址到其对应的MAC地址的一个列表。地址解析协议(ARP)缓存是一个常驻内存的数据结构,其间的内容是由本地体系的内核来办理和保护的。默许的情况下,ARP缓存中保留有最近十分钟本地体系与之通讯的节点的IP地址(和对应的MAC地址)。
当一个长途主机的MAC地址存在于本地主机的ARP 缓存中,转化长途节点的IP地址为MAC地址不会遇到问题。然而在许多情况下,长途主机的MAC地址并不存在于本地的ARP缓存中,体系会怎样处理呢?在知道一个长途主机的IP地址,可是MAC地址不在本地的ARP缓存中的时分,以下的进程用来获取长途节点的MAC地址:本地主机发送一个播送包给网络中的一切的节点,问询是否有对应的IP地址。一个节点(只要一个)会答复这个ARP播送信息。在回应的信息包里就会包括有这个长途主机的MAC地址。在收到这个回来包后,本地节点就会在本地ARP缓存中记载长途节点的MAC地址。
假如咱们将IP/MAC对应联系树立为固定的,也便是对那些合法IP地址树立静态的MAC对应联系,那么即便不合法用户盗用了IP地址linux路由器在回应这些IP宣布的衔接恳求时则不会经过arp协议问询其mac地址而是运用Linux树立的静态MAC地址、宣布应对数据这样盗用IP者则不会得到应对数据然后不能运用网络服务。
树立静态IP/MAC绑缚的办法是:树立/etc/ethers文件,其间包括正确的IP/MAC对应联系,格局如下:
192.168.2.32 08:00:4E:B0:24:47
然后再/etc/rc.d/rc.local最终增加:arp -f即可
2.4内核的iptables能够对IP和Mac一起进行限制,运用该功能对合法IP的规矩一起限制IP地址和Mac地址即可。
