当前位置:Linux教程 - 网络配置 - 网络配置 - 拒绝二级代理

网络配置 - 拒绝二级代理

拒绝二级代理
2004-04-23 15:18 pm
来自:Linux文档
现载:Www.8s8s.coM
地址:无名

因為有一個合法的IP(MAC和IP已經在Linux上綁定)被安裝成了一個閘道,通過 MASQUERADE讓所有其他用戶都可以通過它上偽裝成這個合法的IP,導致任何人將閘道指向它都可以出去。 例如: 192.168.1.168(00:01:02:49:19:85)的閘道指向192.168.1.254,而可以出去。 現在192.168.1.168安裝了兩張網,eth0:192.168.1.168,eth1:10.136.14.254,使 用MASQUERADE配置成一個NAT,這樣所有10.136.14.0/24都可以被偽裝成192.168.1.168而通過192.168.1.254出去。 請問如何去識別這種情況而拒絕它或者封閉這IP一小時。 把ETH1 FORWARD 到 EXT-IP 的 DROP 謝謝gentoo,不過好像這樣不是最佳的解決辦法。 我明白,但是你说得不太清楚(可能是我理解能力的问题吧),方便的话讲清楚一点吧! 這是我們學校的最近發生的一個問題,192.168.1.0/24這個網段是給計算機專業人員使用的IP地址,這個網段都可以通過S而被MASQUERADE上internet,這個網段上的所有IP都在GateWay S中的/etc/ethers中被綁定了,排除別人改IP的可能(當然可以改MAC地址的,這個不用管他)。 10.136.14.0/24這個網段是所有普通學生使用的。 現在的問題是有些個別計算機專業的學生將自己的電腦新加一張網卡,然後也架個linux,用MASQUERADE給所有10.136.14.0/24網段上的人偽裝成192.168.1.X而上internet。導致很多學生都經常做一些不該做的事情。 所以針對這種新情況,想請問能不能拒絕這樣的情況發生?或者有相關的商業軟件。 謝謝了。 自己加网卡属于物理攻击范畴,从理论上是不可能杜绝这种情况的。 划分VLAN也没用。 我们学校的解决方案是把所有的机箱都用铆钉铆起来,只有几个人有权打开机箱,然后再划分VLAN,效果很好。 192.168.1.0这个网段的ip与mac绑定了,学生使用10.136.14.0/24 網段的ip,那学生怎么得到的192.168.1.0这个网段的ip?盗用的? 学生得不到192。168。1。0这个网段的ip,不就伪装不成了吗? 是192.168.1.0/24中某個IP擁有者架了個Linux,然後用MASQUERADE將所有10.136.14.0/24的人都偽裝成192.168.1.X,這樣就使10.136.14.0/24都可以出去了呀。 理論上來說要杜絕這樣的情況,需要能能夠識別包是來自真實的192.168.1.X還是被偽裝過的。不過這樣好像比較難,需要能有高人想出高招。 謝謝。