如何永久绑定网关IP-MAC防止网关欺骗 |
通过静态绑定网关IP的MAC地址,可以有效防止内网中的网关欺骗。不同的操作系统绑定方法各有不同。 1、Windows Server 2003系统 a.、检查当前arp绑定情况:arp -a b、添加arp静态绑定:arp -s 网关IP 网关MAC 命令:arp -s 160.19.51.181 00-1e-08-0b-b0-37 c、删除arp静态绑定:arp -d
以上是Windows Server 2003系统操作系统的网关ARP的临时静态绑定,服务器重启之后会失效,永久静态绑定步骤如下: d、新建一个批处理文件,可命名为ip-mac.bat,写入命令arp -s 网关IP 网关MAC,并保存。
e、设置开机执行批处理文件:gpedit.msc打开组策略编辑器,打开【计算机配置】-【windows设置】-【脚本(启动/关机)】,添加刚才创建的批处理文件ip-mac.bat,点应用。
f、手动执行ip-mac批处理文件,从绑定前后的ARP缓存列表中,可以看到网关160.19.51.129的记录标志已经从dynamic变为static,说明静态绑定成功。重启服务器开机会自动执行批处理文件,ARP绑定就不会失效了。
2、Windows Server 2008/2012/2016系统,这几类系统可以使用netsh命令,并且执行之后都是永久生效。 a.、检查当前arp绑定情况:
b、查看外网网卡的IDX编号:netsh i i show in ,输出列表最左边的一列为IDX编号,实例中IDX为10。
c、添加arp静态绑定: netsh -c i i add neighbors 外网网卡IDX 网关IP 网关MAC 命令:netsh -c i i add neighbors 10 160.19.51.181 00-1e-08-0b-b0-37
d、删除arp静态绑定: netsh -c i i del neighbors 外网网卡IDX 命令:netsh -c i i del neighbors 10
3、CentOS/Ubuntu/Debian操作系统的网关ARP静态绑定: a、查看当前arp:arp 查看当前arp绑定情况:arp -a
b、添加arp静态绑定: arp -s 网关IP 网关MAC 命令:arp -s 160.19.51.129 00:1e:08:0b:b0:37
说明:Flags Mask出现CM,表示静态绑定的ARP条目;arp -a出现的PERM代表永久的ARP条目。 c、删除arp静态绑定: arp -d 网关IP 命令:arp -d 160.19.51.129,即可删除绑定,arp -a的结果会恢复到最初未静态绑定的状态。 以上是CentOS/Ubuntu/Debian操作系统的网关ARP的临时静态绑定,服务器重启之后会失效,永久静态绑定步骤如下: d、新建一个静态的mac-->ip对应表文件:ip-mac,将要绑定的IP和MAC地下写入此文件,格式为 ip mac。 命令:echo '160.19.51.181 00:1e:08:0b:b0:37 ' > /etc/ip-mac 验证:more /etc/ip-mac
e、设置开机自动绑定 命令:echo 'arp -f /etc/ip-mac ' >> /etc/rc.d/rc.local
f、手动执行一下绑定,从绑定前后的ARP缓存列表中,可以看到网关160.19.51.129的记录标志已经改变(Flags Mask中的CM标识和arp -a中的PERM永久绑定标识),说明永久绑定成功,重启服务器ARP绑定就不会失效了。 命令:arp -f /etc/ip-mac 验证:arp -a
|