Blokir permintaan ARP (atau pesan siaran, jika mungkin) dari A SPECIFIC HOST di subnet

1

ISP saya memberikan username-password untuk otentikasi dan juga mendaftarkan alamat MAC klien untuk otentikasi

Saya khawatir tentang seseorang yang menyalahgunakan koneksi saya sementara saya tidak menggunakannya. Nama pengguna mudah ditebak (klien tidak dapat mengubah nama pengguna, hanya kata sandi yang dapat diubah) dan jika ada yang menemukan alamat MAC dan kata sandi, mereka dapat menggunakan koneksi saya.

Sekarang, ISP tidak menggunakan VLAN pribadi, sehingga alamat MAC mudah didapat. Permintaan siaran ARP sederhana dari host di dalam subnet saya akan mengungkapkan MAC saya dan saya tidak mengandalkan kata sandi karena halaman otentikasi tidak menggunakan HTTPS. Jadi, kata sandi saya dikirim dalam teks biasa.

Dalam skenario ini, saya ingin memblokir / menjatuhkan / menolak permintaan ARP (atau permintaan siaran) dari host mana pun di dalam subnet saya kecuali gateway.

Saya telah melihat ini pertanyaan dan ini pertanyaan tetapi OP mencoba memblokir semua permintaan ARP. Tentu saja, ini adalah ide yang buruk karena saya tidak akan mendapatkan lalu lintas internet dari gateway. Saya hanya ingin memblokir permintaan ARP (jika memungkinkan permintaan siaran) dari sembarang host di subnet saya, tetapi hanya mengizinkan broadcast / ARP dari gateway saya.

Saya menggunakan OpenWrt di router nirkabel saya. Jadi, saya pikir solusi Linux akan berfungsi dan jika mungkin, tolong juga berikan solusi Windows.

networking router firewall iptables broadcast Sourav Ghosh
sumber
tabel arp mungkin solusi yang Anda butuhkan. Jadikan Rute Anda statis dan blokir semua.
Wiffzack
Anda biasanya dapat mengatur entri ARP statis (tergantung pada OS tentunya), jadi jika Anda melakukannya untuk gateway Anda, Anda tidak akan pernah kehilangan itu dan dapat memblokir semua ARP lainnya.
MaQleod
@ MaQleod Tapi bagaimana dengan ketika gateway ingin mengirim saya paket? perlu disiarkan untuk MAC saya. Saya harus membalas ARP itu.
Sourav Ghosh
Kemungkinannya itu tidak akan menjadi masalah. Sebagian besar router ISP akan menyimpan tabel ARP selama sekitar 20 menit (sebagian besar router perusahaan ditetapkan tinggi untuk ini) dan kebanyakan dari mereka biasanya dapat memperbarui tabel ARP dari paket yang masuk - jadi itu hanya akan membawa paket dari Anda ke router untuk itu untuk mengetahui di mana Anda berada dan bagaimana menghubungi Anda, tanpa perlu mengirim ARP kepada Anda sama sekali. Jadi jika mesin Anda ARP gateway setiap 2-5 menit, atau apa pun penyegaran Anda diatur, kemungkinan besar Anda memperbarui ARP juga setiap kali.
MaQleod

Jawaban:

1

Saya telah mencapai persyaratan ini dalam 2 cara di perangkat Linux. Saya masih mencari cara untuk mencapai ini di perangkat Windows.

  1. Dengan memasukkan entri ARP statis untuk gateway saya dan kemudian menonaktifkan ARP.
  2. Menggunakan arptable

Metode pertama 

ip neighbor add 172.xx.xxx.1 lladdr 84:xx:xx:xx:xx:80 nud permanent dev eth0

Kebutuhan perintah di atas ip-full paket pada sistem OpenWrt. eth0 adalah antarmuka WAN saya. Jika sudah ada entri untuk gateway, gunakan: 

ip neighbor replace 172.xx.xxx.1 lladdr 84:xx:xx:xx:xx:80 nud permanent dev eth0

Sekarang nonaktifkan ARP. Gunakan salah satu dari perintah itu . 

ip link set dev eth0 arp off
ifconfig eth0 -arp

Untuk mengaktifkan kembali nanti, gunakan: 

ip link set dev eth0 arp on
ifconfig eth0 arp

Metode Kedua

Yang ini menggunakan arptables paket. Pertama, saya telah mengizinkan gateway saya. Kemudian saya juga mengizinkan ARP di LAN saya ( br-lan antarmuka) dan akhirnya memblokir semua ARP lainnya 

arptables -A INPUT -s 172.xx.xxx.1 -j ACCEPT
arptables -A INPUT -i br-lan -j ACCEPT
arptables -P INPUT DROP
Sourav Ghosh
sumber