linux下怎么绑定ip

0101linux

在linux下怎么绑定IP,就是只有被绑定的IP的才能通过这个网关上网.没有绑定的就不能有这个网关上网,谢谢.

dong1258

好象很模糊，，

不懂

pangty

可以用iptables来写FORWARD链的规则：
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i $int_if -s $ip1 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i $int_if -s $ip2 -m state --state NEW -j ACCEPT
.
.
.
iptables -A FORWARD -i $int_if -s $ipn -m state --state NEW -j ACCEPT

iptables -P FORWARD DROP

$int_if是内网接口，$ipn是允许上网的IP

如果ip比较多，也可以把允许上网的ip地址列个表存成文件，每行一个，比如：/etc/iplist，然后改一下脚本：
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
cat /etc/iplist | while read ip; do
    iptables -A FORWARD -i $int_if -s $ip -m state --state NEW -j ACCEPT
done
iptables -P FORWARD DROP

ssffzz1

可以用IPTABLES的MAC模块来做。也可以禁止ARP协议后，手工输入MAC地址表来实现。

cexoyq

楼上的方法，就需要二头绑定MAC。否则是不能通信的。

ssffzz1

原帖由 cexoyq 于 2007-6-5 16:06 发表于 5楼  
楼上的方法，就需要二头绑定MAC。否则是不能通信的。

多谢提醒，的确是这样。这也是常规的防ARP病毒的一种方法。

pangty

我极其反对这样做。
我们在公司采用服务器端绑定mac，周期性arp广播方式广播网关mac的方法抑制arp欺骗，自动监控抓包确认中毒机器，然后及时清除的方法来进行维护。

ssffzz1

原帖由 pangty 于 2007-6-5 16:13 发表于 7楼  
我极其反对这样做。
我们在公司采用服务器端绑定mac，周期性arp广播方式广播网关mac的方法抑制arp欺骗，自动监控抓包确认中毒机器，然后及时清除的方法来进行维护。

能够比较一下二者的优缺点吗？

pangty

比如网关mac变动时就非常麻烦，网关一旦有问题，更换了机器或者更换了网卡。可能几年都不会发生一次，但一旦发生对于一个规模稍大的网络来说就是灾难性的。

ssffzz1

原帖由 ssffzz1 于 2007-6-5 16:16 发表于 8楼  



能够比较一下二者的优缺点吗？

也是啊。其实只要是做了绑定，那么在更换网卡的时候都会引来一些配置的问题。不过现在网卡的MAC地址基本都是可以更改的。感觉你的方法对网络造成的负载有一些大，当然这在局域网中也许不是什么问题。其实还有别的解决方法，譬如在WINDOWS下有一个补丁，他可以防止网卡发出自身的IP和MAC不对应的攻击包，即使中了ARP病毒也没有攻击力。还有交换机端口+MAC+IP绑定，所要做的工作量也是满多的。