Como desativar o transmissor ou receptor NIC no Linux

Navegue suas respostas
4

É possível desabilitar o tx ou o rx em uma NIC? Estou configurando uma máquina de monitoramento de rede e gostaria de ter certeza de que nenhum pacote será introduzido por esta máquina na rede.

Uma abordagem seria usar algum tipo de recurso de filtro de rede para bloquear todo o pacote que vem da interface. Mas isso adiciona trabalho extra ao servidor, pois precisará filtrar todos os pacotes que possam sair da interface.

    
por Tinti 12.12.2013 / 13:41

4 respostas

5

A maneira mais fácil de fazer isso é usar um cabo personalizado com o pino TX não conectado. Os cabos são triviais para fazer, você só tem que seguir o padrão de cores correto. Você também precisará certificar-se de colocar o conector com TX desativado no computador e não no comutador, mas isso é fácil de corrigir se você errar. :)

    
por 12.12.2013 / 13:44
0

I am setting up a network monitoring machine and I would like to be sure that no packet will be introduced by this machine at the network.

Essa parte não faz muito sentido.

E então, como você planeja usar o próprio sistema? Até mesmo um sistema de monitoramento de rede precisaria de acesso para enviar tráfego. Notificações por e-mail, notificações por SMS, testes de ping de saída, etc. Ele não pode operar de forma eficaz se tudo o que ele faz é receber.

    
por 12.12.2013 / 15:05
0

Se estiver executando o Linux, você pode usar o iptable para bloquear todo o tráfego:

iptable -F iptables -P INPUT DROP iptables -P SAÍDA DE SAÍDA iptables -P FORWARD DROP

    
por 16.12.2013 / 11:16
0

[A questão é um pouco antiga, mas acho que nenhuma das respostas capturou a resposta completa.]

Suposições

  1. O cenário é como John descreveu: um sistema de farejamento de rede com:

    • uma NIC para gerenciamento remoto (que, portanto, deve receber e transmitir)
    • uma segunda NIC que receberá pacotes espelhados do comutador de rede (mas que não deve transmitir)

  2. A interface de gerenciamento é eth0 e a interface sniffing é eth1.

Abordagem

  1. Concordo que a melhor solução inclui um cabo modificado, caso seu switch ofereça suporte a ele. Além das ACLs no switch de rede (veja abaixo), este cabo é uma linha de defesa contra erros de configuração que, inadvertidamente, vazam informações através da interface de sniffing.
  2. Os comandos do iptables abaixo não protegem você contra ataques através da interface monitorada, mesmo com um cabo modificado. Seja certo que o seu sistema sniffing:
    • não possui nenhum serviço (como ssh) escutando na interface de sniffing
    • tem o encaminhamento de IP desativado no kernel (via / proc / sys / net / ipv4 / ip_forward ou /etc/sysctl.conf para preferência)
    • usa senhas exclusivas
    • não é confiável por nenhum outro sistema
    • é mantido atualizado com patches de segurança
    • tem ACLs de entrada (ou seja, do sistema sniffing para o comutador) na porta do comutador de rede para a interface de gerenciamento, para controlar o que o sistema sniffing pode emitir
    • tem ACLs de entrada na porta do switch de rede para a interface sniffing, para descartar todos os pacotes.

Comandos

Para iptables no Linux: 

iptables --insert OUTPUT 1 --out-interface eth1 --jump DROP
iptables --flush FORWARD
iptables --append FORWARD --jump DROP
iptables --policy FORWARD DROP

Esta primeira linha insere uma regra no início da tabela de regras de saída e não deve afetar outro tráfego.

YMMV porque eu não testei; -).

- klodefactor

    
por 02.06.2014 / 19:10

Tags

Os comutadores Netgear aceitam outras marcas de módulos e cabos SFP + (por exemplo, Cisco)? Como entregar chaves ssh privadas para um virtualbox controlado pelo vagrant?