知识大全 Linux下客户端MAC地址控制(2)
Posted 地址
篇首语:永不毁灭的无价之宝,是一个的学问。本文由小常识网(cha138.com)小编为大家整理,主要介绍了知识大全 Linux下客户端MAC地址控制(2)相关的知识,希望对你有一定的参考价值。
Linux下客户端MAC地址控制(2) 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!
作者 胡杨月影 使用代理服务器自身的MAC地址检查功能 Linux下使用较多的代理服务器是Squid和Socks 此处以Squid为例 说明如何检查客户端MAC地址 由于Squid的RPM发布版通常没有启用这一特性 这种版本使用MAC匹配会提示错误的acl类型 所以我们必须手工编译源代码 首先下载squid x src tar gz 然后用tar xvfz squid tar gz命令解开源代码 并进入展开后的子目录 用 /configure配置编译选项 除了启用自己需要的特性外 再加上参数 enable arp acl 即允许设置acl(Access Control List)为arp(MAC地址匹配)方式 然后执行make make install 安装完成后 就可以修改nf来匹配MAC地址了 如下所示 # 设置一个accept_group列表 该用户的MAC地址为 : : : :bb: acl access_group arp : : : :bb: # 根据最低安全要求 设置all列表 包含源IP地址为 / 即所有用户 acl all src / # 允许accept_group组正常访问 _access allow accept_group # 禁止其他所有未经授权的访问 _access deny all 启动Squid 并配置正确的缓存目录和端口转发 当Squid收到请求时 无论请求用户来自哪个IP地址或主机 它都会检查其MAC地址 并且只允许MAC地址为 : : : :bb: 的请求通过 这样也可以实现客户端零配置的用户识别 对于使用iptables + Squid做透明代理的Linux网关来说 可以选择iptables或Squid来识别用户 利用静态ARP表进行控制 我们知道 ARP(Address Resolution Protocol 地址转换协议)被当作底层协议 用于IP地址到物理地址的转换 在以太网中 所有对IP的访问最终都转化为对网卡MAC地址的访问 不妨设想一下 如果主机A的ARP列表中 到主机B的IP地址与MAC地址对应不正确 由A发往B数据包就会发向错误的MAC地址 当然无法顺利到达B 结果是A与B根本不能进行通信 Linux可以通过arp命令控制ARP转换 即IP到MAC的转换 因此 也能利用这一功能对用户MAC地址进行匹配 下面我们就来看看arp命令的用法 输入arp将显示当前所有ARP转换记录 类似于这样 Address HWtype HWaddress Flags Mask Iface ether : : : : :F C eth ether : : :F : : C eth ether : : E:F : :C C eth . . . ether : : E:F : :C C eth 由此可以看到 当前系统保留的IP地址与MAC地址一一对应 并指明了硬件类型(Hwtype)和通信所使用的接口(Iface) 不过这些都是动态生成的 无需手工干预 我们要做的恰恰是手工干预这一过程 我们需要用到arp命令的另一重要功能 就是手工更改这一对应关系 此外 该命令还可以读取文本文件中的ARP记录 其默认文件是/etc/ethers 也就是说 当输入ARP f的时候 系统就会读取/etc/ethers这个文件 并以其中的项目取代系统当前的ARP记录 假设/etc/ethers文件内容如下 : : : :bb: 然后执行命令arp f 这时 我们查看系统ARP表 会发现无论 原来对应的MAC地址是什么 都会被新的所取代 Address HWtype HWaddress Flags Mask Iface ether : : : : :F C eth ether : : :F : : C eth ether : : E:F : :C C eth . . . ether : : : :bb: C eth 此时 本机发往 的数据包目标MAC地址将由原来的 : : E:F : :C 改为 : : : :bb: 显然 如果 所在网卡的MAC地址并非 : : : :bb: 数据包就无法到达正确的目的地 那么它们也就无法通信了 这样也达到了识别非法用户的目的 当然 控制MAC地址的方法还不止这些 例如可以利用交换机的端口管理功能识别用户 根据交换机的原理 它是直接将数据发送到相应端口 那么就必须保有一个数据库 包含所有端口所连网卡的MAC地址 由此可见 控制每个端口使用的MAC地址理论上是完全可行的 大部分中高端交换机如 Com SuperStack系列等 都具有这种功能 具体操作与交换机型号有关 这里就不赘述 最后 提醒一下 MAC地址控制并非绝对保险 正如这个世界上没有绝对解不开的密码一样 所谓安全都是相对于特定的环境而言 现在 很多网卡都支持MAC地址的软件修改 Linux和Windows本身也都有办法修改这一物理地址 不过由于这种方式相对稳定 摒弃了繁琐的客户端设置 对用户完全透明 而且具备很强的可操作性 所以在某种程度上说是安全的 (责任编辑 郁单曰) cha138/Article/program/Oracle/201311/18152相关参考
在ASP中获取客户端MAC地址的方法 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! 本程序属于一
JSF/JAVA根据IP获取客户端Mac地址 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! 需要
知识大全 W7系统在没有连接网络的状态下要如何才能找到它的MAC地址
W7系统在没有连接网络的状态下要如何才能找到它的MAC地址? 以下文字资料是由(本站网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一
知识大全 mac地址系结,修改后电脑可以上网,但用路由器后就不能上网,路由器已经克隆过ip地址,且电脑显示连线正常
mac地址系结,修改后电脑可以上网,但用路由器后就不能上网,路由器已经克隆过ip地址,且电脑显示连线正常我没太明白你说的意思?在一些情况下,网路运营商是系结使用者的mac地址的,也就是只有这个mac地
利用Java获取本机mac地址 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! publicsta
Java实现读取本机网卡Mac地址 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! 本方法主要用来
断开网络连接后mac地址变成全0了,怎样改回来呢?用这个软件MAC地址精灵:sky./soft/17158.window7怎样断开网络连接win7系统断开网络连接方法如下:1点击电脑屏幕右下角向上小三
C#截取DOS命令输出流取得网卡MAC地址 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! &nb
ASP.NET获取IP与MAC地址的方法 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!
知识大全 苹果手机的Mac地址个IP地址泄漏给IT的同事,自己改了IP地址,还有可能被监控上网行为么
苹果手机的Mac地址个IP地址泄漏给IT的同事,自己改了IP地址,还有可能被监控上网行为么? 以下文字资料是由(本站网www.cha138.com)小编为大家搜集整理后