Настройка ip-sentinel
Содержание
Описание
Страничка проекта с исходниками ip-sentinel
Более подробное описание и настройку этого пакета можно посмотреть README
Этот демон предотвращает появление в сети неизвестных машин, путем выдачи поддельного ответа на ARP запрос. После посылки такого поддельного пакета, передающая сторона сохраняет MAC адрес в своею ARP таблицу и в будущем будет пытаться посылать ответы на несуществующий MAC адрес, что вызовет ощибку, что IP адрес недоступен.
Кроме этого ip-sentinel имеет следуюющие возможности:
- Легко настраиваваемые IP адреса и маски.
- Возможность работы в chroot и non-root режимах
- Защиту от основных DOS атак
Установка
Устанавливаем пакет ip-sentinel*.rpm
Настройка
Все настроечные параметры пакета лежат в двух файлах
- /etc/sysconfig/ip-sentunel - это файл с параметрами запуска демона
- /var/lib/ip-sentinel/ips.cfg - это основной файл, где указываются сети и компьютеры, которые надо разрешить или блокировать.
Редактируем /etc/sysconfig/ip-sentunel
IPS_USER=ip-sentinel IPS_GROUP=ip-sentinel IPS_CHROOT=/var/lib/ip-sentinel IPS_IPFILE=ips.cfg IPS_LOGFILE=/var/log/ip-sentinel.out IPS_ERRFILE=/var/log/ip-sentinel.err # IPS_OPTIONS= IPS_DEVICE=eth1 ## Assign to yes if running a dietlibc-compiled version of ip-sentinel ## on a system using remote NSS for passwd-lookups (e.g. LDAP, NIS). ## ## When using a group which is not the effective group of the user, ## you will have to assign the numeric gid of this group to GROUP. # IPS_NEEDS_NUMERIC_UID=
IPS_USER - пользователь из под которого запускается демон
IPS_GROUP - группа из под которого запускается демон
IPS_CHROOT - путь для chroot
IPS_IPFILE - имя конфигурационного файла - должен лежать в директории chroot (/var/lib/ip-sentinel)
IPS_LOGFILE - Лог файл
IPS_ERRFILE - Лог Файл ошибок
IPS_DEVICE - Интерфейс, на котором работает демон
Редактируем /var/lib/ip-sentinel/ips.cfg
Вот пример конфигурационного файла. Более подробно см в man и readme
0.0.0.0/0 ## блокировать все по умолчанию !192.168.0.0/24 ## разрешить IP адреса сети 192.168.0.* 192.168.0.23 ## но зарезервировать 192.168.0.23 192.168.{20-30}.0/24 ## а так же все /24 подсети между 192.168.20.0 ## и 192.168.30.0 192.168.0.42 a:b:c:d:e:f ## и 192.168.0.42 с MAC адресом ## MAC there 10.0.0.1@a:a:a:a:a:a ## two tagged src-ip addresses 10.0.0.2@!1:1:1:1:1:1 *@1:1:1:2:2:2 ## host with a certain MAC on every IP
Если нет восклицательного знака перед IP адресом - значит этот IP запрещен, а если есть - то разрешен.