我想知道是否有可能使用iptables强制MAC地址到IP限制,以防止用户窃取IP。 基本上只是寻找一种方法来指定MAC X只能使用IP Y和Z.
我知道你可以在一些layer3路由器上设置静态ARP条目,但是我不能这样做,所以我正在设置一个linux的盒子来做我的layer3路由,并执行它。
虽然Zypher的评论是正确的,并且MAC地址过滤除了wallport级别以外的任何东西都是无用的,但如果你真的热衷于这样做,iptables可以处理它。 寻找mac匹配扩展(它提供了--mac-source选项),方便logging在iptables (8)中。
请注意,这只能在通过所有stream量的设备上工作,否则人们仍然可以使用他们喜欢的任何MAC地址来窃取您的局域网上的IP地址,这只是您的路由器不会路由数据包。 所以,原则上,你需要把每个交换机端口放在自己的VLAN上,使用中继将所有这些数据包放到你的中央盒子里,或许做一堆代理ARP,然后找出你的小小交换机路由器其实可以通过。 或者,你可以买一个更好的开关,或者只是让人们不要把随机的设备插入networking(用油箱驱赶的痛苦)。 如果需要的话,我可以把你和一个可靠的坦克供应商联系起来。