求LNS防ARP的方法的规则详解

pojun15013

上次在网上看了一篇LNS防ARP攻击的规则，可是有几条弄不明白，望高人指点！

下面给出原文（节选，来自互联网）

LnS 可以拦截所有的 arp 数据包(默认规则中的倒数第二条，将它禁用或拦截)，这样安全倒是安全了，但我们的机器也就成孤儿了，不能与任何人通讯了。所以必须对信任的主机设置放行规则，而网关就是必须放行了，否则外网也不能上了。

为了便于说明，我们先假设一个子网环境:
网关 : IP = IP-1, MAC = 11:11:11:11:11:11
本机 : IP = IP-2, MAC = 22:22:22:22:22:22
主机A: IP = IP-A, MAC = AA:AA:AA:AA:AA:AA
主机B: IP = IP-B, MAC = BB:BB:BB:BB:BB:BB
主机C: IP = IP-C, MAC = CC:CC:CC:CC:CC:CC

规则说明方式：=> 表示传出，<= 表示传入，== 表示双向。
注意按此设置 LnS 规则时，有方向规定的始终要将源放在左边，目标放在右边，对方向为双向的始终将本机放在左边，远端放在右边。


对于我们假设的子网环境，设置如下：
① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF (允许本机广播出站)
② FF:FF:FF:FF:FF:FF <= 11:11:11:11:11:11 (允许网关广播入站)
③ 22:22:22:22:22:22 == 11:11:11:11:11:11 (允许本机与网关相互应答)


需要局域网共享，则对每台要共享的主机增加如②③的两条规则，将网关的MAC改为信任主机的MAC。
有点麻烦，每台主机需要加两条规则，而防火墙的规则是越少越好，且 LnS 的规则数很容易达到上限，所我们对设置稍微进行一下妥协：对入站的所有广播放行，不要对每台信任的主机添加规则。有人会觉得这样不安全，因为任何非信任的主机都可以向本机发送查询广播，实际上不必担心，因为没有相应的放行应答出站的规则。(你要就要吧，我就不给你钱，你能咋地？)

优化后的规则如下：
① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF (允许本机广播出站)
② FF:FF:FF:FF:FF:FF <= 全部 (允许所有查询广播入站)
③ 22:22:22:22:22:22 == 11:11:11:11:11:11 (允许本机与网关相互应答)
④ 22:22:22:22:22:22 == 信任主机1
⑤ 22:22:22:22:22:22 == 信任主机2
……

※ 最后，将倒数第二条规则改为拦截(第二列红杠)或禁用(取消前面的勾)。
不必担心禁用，最后一条规则会拦截所有未匹配的数据包(前提是没有修改该规则)


我不明白的是那个优化后的第二条规则（红色部分），来源应该是“全部”吗？可是那样设置的话上不了网（校园网），还有就是传入跟传出是不是可以来个双向优化？
下面我给出我的设置，忘高人指点，小弟不胜感激！(本人MAC：00：E0:4D:C0：DA:46，默认网关：00:0F:E2:27:33:5B)

yaoogle007

防ARP的话，还是用国产的防火墙比较好。另外既然用LNS，不如用下毛豆，更加智能与强大。网上也有国产的专防ARP的软件，如彩影。

流年春去

建议试试二楼的方法

pojun15013

流年春去 发表于 2012-3-7 09:48
建议试试二楼的方法

谢谢，但是现在想学习LNS，彩影也在用，毛豆没用过...

pojun15013

yaoogle007 发表于 2012-3-7 09:01
防ARP的话，还是用国产的防火墙比较好。另外既然用LNS，不如用下毛豆，更加智能与强大。网上也有国产的专防 ...

谢谢你的提醒，但是现在想学习LNS，彩影也在用，可是我的是X64的机子，有很多国产的装不了，毛豆没用过...

yaoogle007

LNS学起来很复杂的，以前接触过。

ktango

楼主的ARP传入规则设置错误，LNS所有的传入规则是来源是远程机器，目标是本机。

yiangtoo

LZ有问题可以给K大联系

pojun15013

ktango 发表于 2012-3-7 12:46
楼主的ARP传入规则设置错误，LNS所有的传入规则是来源是远程机器，目标是本机。

谢谢大哥指导！远程机器是选择“全部”吗？

ktango

pojun15013 发表于 2012-3-7 14:11
谢谢大哥指导！远程机器是选择“全部”吗？

理论上只需要设置允许网关广播就可以不过接受局域网所有的机器进行广播也没问题，视乎个人的喜好。