LinuxルーティングでIPとMAC​​のバインディングを設定する方法

システムによっては、イントラネット内のIPアドレスの一部がインターネットに接続されていることが必要であり、これらのIPアドレスが不正ユーザに盗まれないことが望まれます。これは、次の解決方法で実現できます。

最初にipchainsまたはiptablesを使用して、正当なIPアドレスのみ接続を許可するように設定します。

正規のIP用にIP /Macバンドルを確立します。この問題について議論するには、まずARPプロトコルの動作原理を理解する必要がありますarpプロトコルはAddress Resolution Protocolの略で、その機能と動作原理は次のとおりです。互いに通信したい場合、ノードは最初に送信元および宛先MACアドレスを知っている必要があります。システムがリモートノードのMACアドレスをすばやく見つけるために、各ローカルカーネルはインスタントルックアップテーブル（ARPキャッシュと呼ばれる）を管理します。 ARPには、リモートホストを対応するMACアドレスにマッピングするIPアドレスのリストがあります。アドレス解決プロトコル（ARP）キャッシュは、内容がローカルシステムのカーネルによって管理および維持される常駐メモリ構造です。デフォルトでは、ARPキャッシュは、過去10分間にローカルシステムが通信したノードのIPアドレス（および対応するMACアドレス）を保持します。

リモートホストのMACアドレスがローカルホストのARPキャッシュにある場合、リモートノードのIPアドレスをMACアドレスに変換しても問題ありません。しかし、多くの場合、リモートホストのMACアドレスはローカルARPキャッシュに存在しませんシステムに何が起こりますか？リモートホストのIPアドレスを知っていても、MACアドレスがローカルARPキャッシュにない場合、次のようになります。このプロセスは、リモートノードのMACアドレスを取得するために使用されます。ローカルホストはブロードキャストパケットをネットワーク内のすべてのノードに送信して、対応するIPアドレスがあるかどうかを確認します。ノード（1つだけ）がこのARPブロードキャストメッセージに応答します。このリモートホストのMACアドレスは応答パケットに含まれます。返信パケットを受信した後、ローカルノードは、リモートノードのMACアドレスをローカルARPキャッシュに記録します。

IP /MAC通信を固定、つまり正当なIPアドレスに対して静的MAC通信を確立すると、違法ユーザーがIPアドレスを盗んだ場合でも、LinuxルーターはこれらのIPからの接続に応答します。要求時にはARPプロトコルでMACアドレスを問い合わせるのではなく、Linuxで設定された静的MACアドレスを使用してレスポンスデータを送信しますIPが盗まれるとレスポンスデータが取得されずネットワークサービスを利用できません。

静的IP /MACバインディングを確立する方法は、正しいIP /MACマッピングを含む/etc /ethersファイルを作成することです：

192.168.2.32 08：00：4E ：B0：24：47

次に/etc/rc.d/rc.localに/arc-fを追加します。

2.4カーネルiptablesはIPとMacを同時に制限することができます。この機能を使用して、法的IP規則のIPアドレスとMacアドレスを定義します。