有没有实现禁止ARP探测的规则？

yangcuiwen

我试了几个自己建的 比如说阻止IP出入MAC任何到FF:FF:FF:FF:FF:FF 但是没点效果
是毛豆不支持ARP协议的缘故吗？
不知道有没有高手会写的？

yangcuiwen

我汗额.........这个版没人么，还是我的问题太小白？

tg123321

不知道，不过帮楼主顶一下
好像端口隐藏——阻止所有传入链接可以实现，楼主可以试一下

yangcuiwen

tg123321 发表于 2013-8-21 11:08
不知道，不过帮楼主顶一下
好像端口隐藏——阻止所有传入链接可以实现，楼主可以试一下

没用的，ARP 无解
还有就是点了记住规则，他居然不记住，下次又弹出来了
现在换成了风云了，不过风云的规则设置真蛋疼

巴山冷箭

毛豆墙不属于主动发包型防火墙，对于防护ARP就有点吃力了。  ARP攻击是我国的一大特色。。。
给你个建议，编写防御ARP攻击的全局规则例子：（文字表述，适用于内网，路由，猫上网方式）

首先把自己需要划分的网段排列出来，尽量找到自己主机和网关的物理网卡地址，划分内部区域，
外部公共区域，本地受信任区域以及网关，还有就是DNS解析地址组（个别内网DNS解析需要本地
网关地址，请注意）

1：ICMP全局禁止入  任何到任何，协议ICMP;
2:  内部网络区域（内网上网）禁止入，内部到任何，协议任何；
3：禁止非信任地址发包给网关，排除你网卡发包给网关，协议任何，方向出；
4：禁止任意到任意，方向出入，协议IGMP；
5：全局禁止进入，任意到你网卡，方向入，协议任何；
6：允许任意地址68端口到255.255.255.255的67端口，DHCP解析，协议UDP,方向出，
     （IPV6有另外的表达方式，端口是546-547）；
7:  禁止多播数据，任意地址到224.0.0.0/240.0.0.0,协议任何，方向出；
8：禁止任意到内网区域，协议任何，方向出；
9：禁止任意到内网广播，协议任何，方向出；
10：允许任意地址到公共区域（外网，下同），协议TCP,方向出；
11：允许任意地址到公共区域（同上），协议UDP,方向出；
12：禁止任意到任意，协议RAWIP, 方向出入；
13：允许任意到127.0.0.1/255.0.0.0,方向出，协议任意（这点，更多的是TCP协议）
剩下的就是你自己需要禁止或者允许的端口规则（日常应用）的端口规则，最后全局规则禁止任何出入，协议任何。

大概就这个样子把，注意1-13的顺序，这些规则的排列有一定的考究，定制适合自己的，又不影响日常使用
的规则，需要一定时间；出现断网，查看日志，并立即恢复规则顺序到当初；全局规则主要是协议规则，尽量不要允许端口规则在内，以免影响端口隐身功能。。。

让防火墙大神们见笑了，多多指教！！

巴山冷箭

忘了说一句   没有编辑权限，版主见谅！

上面出，或者出入规则里的第一个任意地址就是你自己的物理网卡地址，后面到某地的任意地址才是
真正的任意地址。。。这点是为了使该规则适应于猫上网的方式，当然，猫上网的也无ARP攻击了。

yangcuiwen

巴山冷箭 发表于 2013-8-31 01:43
毛豆墙不属于主动发包型防火墙，对于防护ARP就有点吃力了。  ARP攻击是我国的一大特色。。。
给你个建议， ...

好乱好乱 ，看不明...比如第三天非信任地址怎么设？还有12条的RAWIP协议？？？