| 如何永久绑定网关ip-mac防止网关欺骗 |
|
通过静态绑定网关ip的mac地址,可以有效防止内网中的网关欺骗。不同的操作系统绑定方法各有不同。 1、windows server 2003系统 a.、检查当前arp绑定情况:arp -a b、添加arp静态绑定:arp -s 网关ip 网关mac 命令:arp -s 160.19.51.181 00-1e-08-0b-b0-37 c、删除arp静态绑定:arp -d
以上是windows server 2003系统操作系统的网关arp的临时静态绑定,服务器重启之后会失效,永久静态绑定步骤如下: d、新建一个批处理文件,可命名为ip-mac.bat,写入命令arp -s 网关ip 网关mac,并保存。
e、设置开机执行批处理文件:gpedit.msc打开组策略编辑器,打开【计算机配置】-【windows设置】-【脚本(启动/关机)】,添加刚才创建的批处理文件ip-mac.bat,点应用。
f、手动执行ip-mac批处理文件,从绑定前后的arp缓存列表中,可以看到网关160.19.51.129的记录标志已经从dynamic变为static,说明静态绑定成功。重启服务器开机会自动执行批处理文件,arp绑定就不会失效了。
2、windows server 2008/2012/2016系统,这几类系统可以使用netsh命令,并且执行之后都是永久生效。 a.、检查当前arp绑定情况:
b、查看外网网卡的idx编号:netsh i i show in ,输出列表最左边的一列为idx编号,实例中idx为10。
c、添加arp静态绑定: netsh -c i i add neighbors 外网网卡idx 网关ip 网关mac 命令:netsh -c i i add neighbors 10 160.19.51.181 00-1e-08-0b-b0-37
d、删除arp静态绑定: netsh -c i i del neighbors 外网网卡idx 命令:netsh -c i i del neighbors 10
3、centos/ubuntu/debian操作系统的网关arp静态绑定: a、查看当前arp:arp 查看当前arp绑定情况:arp -a
b、添加arp静态绑定: arp -s 网关ip 网关mac 命令:arp -s 160.19.51.129 00:1e:08:0b:b0:37
说明:flags mask出现cm,表示静态绑定的arp条目;arp -a出现的perm代表永久的arp条目。 c、删除arp静态绑定: arp -d 网关ip 命令:arp -d 160.19.51.129,即可删除绑定,arp -a的结果会恢复到最初未静态绑定的状态。 以上是centos/ubuntu/debian操作系统的网关arp的临时静态绑定,服务器重启之后会失效,永久静态绑定步骤如下: d、新建一个静态的mac-->ip对应表文件:ip-mac,将要绑定的ip和mac地下写入此文件,格式为 ip mac。 命令:echo '160.19.51.181 00:1e:08:0b:b0:37 ' > /etc/ip-mac 验证:more /etc/ip-mac
e、设置开机自动绑定 命令:echo 'arp -f /etc/ip-mac ' >> /etc/rc.d/rc.local
f、手动执行一下绑定,从绑定前后的arp缓存列表中,可以看到网关160.19.51.129的记录标志已经改变(flags mask中的cm标识和arp -a中的perm永久绑定标识),说明永久绑定成功,重启服务器arp绑定就不会失效了。 命令:arp -f /etc/ip-mac 验证:arp -a
|