Как да се справим с промяна на IP адреси от клиенти на локална мрежа Lan - Amp; Wan-Laquo; Мрежи - Laquo;

Тук, съответно, защитената подмрежа е зададена в променливата mynet, а „правилните“ IP MAC двойки са във файла /etc/ethers.

Добавете флага -arp към интерфейса:

и във файла /etc/rc.conf:

Изчистете arp кеша и заредете статичната таблица:

и добавете последната команда към /etc/rc.local

В по-старите версии на FreeBSD флагът -arp за интерфейси не се поддържаше. По-долу има корекция за ядрото на FreeBSD, която прави това (може би има подобни корекции за други операционни системи).

В този пач е блокирано само актуализирането на arp кеша, отговорите на заявките не са блокирани, така че статични записи на клиентски машини не са необходими. Версиите на FreeBSD, по-стари от 4.9-RELEASE, не изискват корекция, тази функционалност е готова. Просто трябва да конфигурирате интерфейса с флага staticarp.

Въпреки това, ако някой потребител изключи компютъра си, тогава "хакерът" може да го включи сам и да настрои своя MAC. За съжаление няма евтин начин да се защитим от това.

Метод 3: (скъп и надежден) Сигурност на порта. Трябва да закупите комутатор, който ви позволява да свържете MAC към конкретен физически порт в комутатора. И на рутера, от своя страна, се прави статично свързване на IP към MAC, както е описано в метод 1. Почти невъзможно е да се измами такава защита. Такива превключватели обаче струват много.Един от недостатъците на този метод е, че клиентите ще се чудят защо интернет не работи след смяна на мрежовата карта.

Пример за изпълнение е достъпен на NAG.RU.

$350 и поддръжката на 802.1x от операционните системи оставя много да се желае.

---