Настройка ip-sentinel

Материал из Wiki МИАЦ ВО
Перейти к навигации Перейти к поиску

Описание

Страничка проекта с исходниками ip-sentinel
Более подробное описание и настройку этого пакета можно посмотреть README
Этот демон предотвращает появление в сети неизвестных машин, путем выдачи поддельного ответа на ARP запрос. После посылки такого поддельного пакета, передающая сторона сохраняет MAC адрес в своею ARP таблицу и в будущем будет пытаться посылать ответы на несуществующий MAC адрес, что вызовет ощибку, что IP адрес недоступен.

Кроме этого ip-sentinel имеет следуюющие возможности:

  • Легко настраиваваемые IP адреса и маски.
  • Возможность работы в chroot и non-root режимах
  • Защиту от основных DOS атак

Установка

Устанавливаем пакет ip-sentinel*.rpm

Настройка

Все настроечные параметры пакета лежат в двух файлах

  1. /etc/sysconfig/ip-sentinel - это файл с параметрами запуска демона
  2. /var/lib/ip-sentinel/ips.cfg - это основной файл, где указываются сети и компьютеры, которые надо разрешить или блокировать.

Редактируем /etc/sysconfig/ip-sentunel

IPS_USER=ip-sentinel
IPS_GROUP=ip-sentinel
IPS_CHROOT=/var/lib/ip-sentinel
IPS_IPFILE=ips.cfg
IPS_LOGFILE=/var/log/ip-sentinel.out
IPS_ERRFILE=/var/log/ip-sentinel.err
# IPS_OPTIONS=
IPS_DEVICE=eth1

## Assign to yes if running a dietlibc-compiled version of ip-sentinel
## on a system using remote NSS for passwd-lookups (e.g. LDAP, NIS).
##
## When using a group which is not the effective group of the user,
## you will have to assign the numeric gid of this group to GROUP.
# IPS_NEEDS_NUMERIC_UID=

IPS_USER - пользователь из под которого запускается демон
IPS_GROUP - группа из под которого запускается демон
IPS_CHROOT - путь для chroot
IPS_IPFILE - имя конфигурационного файла - должен лежать в директории chroot (/var/lib/ip-sentinel)
IPS_LOGFILE - Лог файл
IPS_ERRFILE - Лог Файл ошибок
IPS_DEVICE - Интерфейс, на котором работает демон

Редактируем /var/lib/ip-sentinel/ips.cfg

Вот пример конфигурационного файла. Более подробно см в man и readme

0.0.0.0/0      		## блокировать все по умолчанию
!192.168.0.0/24		## разрешить IP адреса сети 192.168.0.*
192.168.0.23			## но зарезервировать 192.168.0.23
192.168.{20-30}.0/24		## а так же все /24 подсети между 192.168.20.0
                                ## и 192.168.30.0
192.168.0.42  a:b:c:d:e:f	## и 192.168.0.42 с MAC адресом
				## MAC there
10.0.0.1@a:a:a:a:a:a		## two tagged src-ip addresses
10.0.0.2@!1:1:1:1:1:1
*@1:1:1:2:2:2                ## Хост с определенным MAC на любом IP

Если нет восклицательного знака перед IP адресом - значит этот IP запрещен, а если есть - то разрешен.