Bloqueia solicitações ARP (ou mensagem de difusão, se possível) de A HOST ESPECÍFICO em uma sub-rede

Navegue suas respostas
1

Meu ISP fornece nome de usuário-senha para autenticação e também registra o endereço MAC do cliente para autenticação.

Estou preocupado com o uso indevido de minha conexão enquanto não a estou usando. Os nomes de usuários são fáceis de adivinhar (os clientes não podem alterar nomes de usuários, somente senhas podem ser alteradas) e, se alguém encontrar o endereço MAC e a senha, eles poderão usar minha conexão.

Agora, o ISP não usa a VLAN privada, portanto, os endereços MAC são fáceis de obter. Um simples ARP broadcast pedidos de um host dentro de minha sub-rede irá revelar o meu MAC e não estou contando com senha porque a página de autenticação não usa HTTPS. Então, minhas senhas são enviadas em texto simples.

Nesse cenário, desejo bloquear / eliminar / rejeitar a solicitação ARP (ou qualquer solicitação de difusão) de qualquer host da minha sub-rede, mas do gateway.

Eu olhei esta pergunta e esta pergunta mas o OP tentou bloquear todas as solicitações ARP. Claro, isso é uma má ideia, porque eu não receberei nenhum tráfego de internet do gateway. Eu só quero bloquear a solicitação ARP (se possível, qualquer solicitação de transmissão) de qualquer host aleatório na minha sub-rede, mas apenas permitir broadcast / ARP do meu gateway.

Estou usando o OpenWrt no meu roteador sem fio. Então, acho que as soluções Linux funcionarão e, se possível, também forneçam a solução do Windows.

    
por Sourav Ghosh 28.02.2017 / 10:20

1 resposta

0

Eu consegui esse requisito de duas maneiras em dispositivos Linux. Ainda estou procurando maneiras de conseguir isso em dispositivos Windows.

  1. Ao inserir uma entrada ARP estática para meu gateway e, em seguida, desativando o ARP.
  2. Usando arptable

Primeiro método 

ip neighbor add 172.xx.xxx.1 lladdr 84:xx:xx:xx:xx:80 nud permanent dev eth0

O comando acima precisa de ip-full package nos sistemas OpenWrt. eth0 é minha interface WAN. Se já houver uma entrada para o gateway, use: 

ip neighbor replace 172.xx.xxx.1 lladdr 84:xx:xx:xx:xx:80 nud permanent dev eth0

Agora desative o ARP. Use qualquer um dos comandos . 

ip link set dev eth0 arp off
ifconfig eth0 -arp

Para reativar mais tarde, use: 

ip link set dev eth0 arp on
ifconfig eth0 arp

Segundo método

Este está usando o pacote arptables . Primeiro, eu permiti meu gateway. Então eu também permiti ARP na minha LAN ( br-lan interface) e finalmente bloqueei todos os outros ARP 

arptables -A INPUT -s 172.xx.xxx.1 -j ACCEPT
arptables -A INPUT -i br-lan -j ACCEPT
arptables -P INPUT DROP
    
por 17.08.2018 / 15:36

Tags

Dispositivo POE invisível por trás do switch gerenciado TP-Link Utilização do disco rígido ao longo do tempo no Windows 10?