MAC-Adresse festnageln?

[schachti]

Hallo,

folgende Frage: Ich habe in einem großen LAN zwei Rechner A und B. Nun passiert es ab und zu, daß sich irgend ein Rechner aus dem LAN die eigentlich schon vergebene IP-Adresse von Rechner A oder B zu klauen versucht.

Gibt es eine Möglichkeit, die zu den IP-Adressen gehörenden MAC-Adressen fest einzustellen, so daß also zum Beispiel Rechner A nur noch Pakete von der IP-Adresse von Rechner B annimmt, falls die MAC-Adresse auch Rechner B gehört (der Teil ginge wohl noch mit iptables), und daß Rechner A, wenn er ein Paket an Rechner B schicken will, die zugehörige MAC-Adresse nicht mittels ARP REQUESTS erfragt, sondern aus einer festen Liste nimmt, die ich einmalig fest vorgebe?

[Garwin]

kommt drauf an, wenn du in dem Netzwerk einen DHCP-Server hast, kannst du dort festlegen das er eine festgelegte IP-Adresse nur an den Rechner mit der angegebenen MAC vergibt.

doofe Formulierung, ich hoffe du weißt was ich meine.

also z.b. kann jeder halbwegs aktuelle DSL-Router IP-Adressen aus dem DHCP-Adresspool für bestimmte MAC-Adressen reservieren.

[schachti]

Ja klar, DHCP-Server läuft, es geht mir darum, böswilliges IP-Spoofing zu verhindern, wenn also jemand bewußt eine falsche IP einträgt. Es geht mir wirklich nur darum, meinem Rechner für einige IP-Adressen statisch die zugehörige MAC vorzugeben, so daß die Pakete immer an den korrekten Rechner geschickt werden, auch wenn jemand die IP fälscht (und eben die MAC vergißt).

[Garwin]

oh tut mir leid, hab dich da falsch interpretiert.
da bin ich leider überfragt.

[C.W.]

Dazu müsstest Du die ARP Table der Rechner und aller beteiligten Router und Switche "festklopfen". Ich wüsste jetzt nicht wie das gehen sollte.

[rukka]

Guten Abend schachti (und Garwin)!

Hoffentlich habe ich dein Problem jetzt richtig verstanden, du möchtest also nur das dein Rechner die IP - MAC Address Pärchen lokal in einer Art Tablle speichert und nicht jedesmal (bzw. in bestimmten Zeitintervallen) ARP REQUESTS sendet um die IP festzustellen? Dann hier die Lösung.
Statische ARP Einträge, zu erreichen wie folgt:

[schachti]

Danke für den Tipp, arp macht genau das, was ich will. Hätte ich auch selbst drauf kommen können.

Und die einkommenden Pakete kann man leicht mit iptables prüfen.

[rukka]

Schön das es dir geholfen hat.

Habe auf die schnelle noch eine Kleinigkeit gefunden, net-firewall/arptables, vielleicht lohnt sich das auch mal anzuschauen wenn du Zeit und/oder Lust zum experimentieren hast. Leider kann ich dir diesbezügliche keine Erfahrungsberichte mitteilen. Nun denn ...

Einen schönen Abend noch zusammen, bye

[amne]

Randbemerkung: Mit net-analyzer/arpwatch lassen sich solche Vorfälle auch recht gut aufspüren und das Übel an der Wurzel packen. Statische Arp-Einträge sind halt auch unpraktisch.
Abgesehen davon lassen sich auch MAC-Addressen sehr leicht spoofen (emerge net-analyzer/macchanger).
_________________
Dinosaur week! (Ok, this thread is so last week)

[bossk]

Ich weiss nicht, was Du fuer ein Netzwerkequipment in Deinem "grossen" LAN hast. Aber bei einigen Geraeten (will keine Werbung machen kannst Du diese Einstellungen (u.a. MAC's, IP's) port-basiert steuern.