服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何在Linux中禁用NIC发送器或接收器
Intereting Posts
OS X服务器VS Snap服务器 Crontab与init.d哪一个用于启动脚本? 防止或限制垃圾邮件发送者/坏人使用我的域名 打印机驱动程序更新不断要求pipe理员凭据 星号呼叫应该与同伴一起,但是被困并留在本地 Nginx http将httpsredirect到第一个server_name CheckPoint防火墙R71:是否可以在VPN会话中为特定MAC地址预留IP? 失败/ SetEncTypeAttr:0xc0000034 Ubuntu是否可以替代小型企业环境中的Windows XP? 在nginx中设置一个默认variables OpenLDAP没有这样的对象(32) uwsgi导入错误:没有名为“编码”的模块 如何理解Apache正在忙于什么? 创build计算引擎实例 如何阻止Postfix转发垃圾邮件而不阻止本地用户的垃圾邮件?

如何在Linux中禁用NIC发送器或接收器

是否可以禁用NIC中的TX或RX? 我正在build立一个networking监测机器,我想确保这个机器不会在networking上引入数据包。

一种方法是使用某种netfilterfunction来阻止来自该接口的所有即将到来的数据包。 但是这会给服务器增加额外的工作,因为它需要过滤所有可能离开接口的数据包。

最简单的方法是使用没有连接TX引脚的定制电缆。 电缆是微不足道的,你只需要遵循正确的颜色模式。 您还必须确保将TX禁用的连接器放在计算机中,而不是开关,但是如果出错,很容易修复。 🙂

我正在build立一个networking监测机器,我想确保这个机器不会在networking上引入数据包。

那部分没有太大的意义。

那么你如何计划使用系统本身? 即使是networking监控系统也需要访问才能发送stream量。 电子邮件通知,短信通知,出站pingtesting等。如果所有的function都收到,它将无法有效运行。

如果运行Linux,您可以使用iptable来阻止所有stream量:

iptable -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP

[这个问题有点老,但是我认为没有一个答案能够得到完整的答案]

假设

  1. 这个场景正如John所描述的:一个networking嗅探系统,具有:

    • 一个用于远程pipe理的NIC(因此必须接收和发送)
    • 第二个NIC将接收来自networking交换机的镜像数据包(但不能传输)

  2. pipe理接口为eth0,嗅探接口为eth1。

途径

  1. 我同意,如果您的交换机支持,最好的解决scheme包括修改后的电缆。 除了networking交换机上的ACL之外(见下面),这条电缆是防止configuration错误的防线,它通过嗅探接口不经意地泄漏信息。
  2. 下面的iptables命令不能保护您免受受监视的界面的攻击,即使是修改过的电缆。 确定你的嗅探系统:
    • 没有任何服务(如ssh)监听嗅探界面
    • 在内核中禁用IP转发(通过/ proc / sys / net / ipv4 / ip_forward或/etc/sysctl.conf进行优先)
    • 使用唯一的密码
    • 不受任何其他系统的信任
    • 保持最新的安全补丁
    • 在pipe理接口的networking交换机端口上具有入站(即从嗅探系统到交换机)的ACL,以控制嗅探系统可以发出的
    • 在嗅探接口的networking交换机端口上有入站ACL,丢弃所有的数据包。

命令

对于Linux下的iptables: 

 iptables --insert OUTPUT 1 --out-interface eth1 --jump DROP iptables --flush FORWARD iptables --append FORWARD --jump DROP iptables --policy FORWARD DROP

第一行在输出规则表的开始处插入规则,不应该影响其他stream量。

YMMV,因为我没有testing;-)。

–klodefactor