arp命令--arptables
rptables处理arp协议有关的包,这些包在iptables中并不会处理·arptables可用于灵活的arp管理,如果善于运用的话,不失为一个优秀的arp防火墙.既能防止别的机器对自己进行arp欺骗,又能防止本机病毒或错误程序向其他机器发起arp攻击。
ACCEPT指接受这个包,DORP指丢掉这个包,QUEUE指把包传到用户空间(如果内核指定了的话),RETURN指返回到上一条链,接着执行上一条链跳转过来哪条规则的下一个规则.每条链都有一个默认目标,当包经过所有规则都没被匹配,则发给默认目标
操作参数
命令类,包括
-A, --append chainrule-specification追加规则
-D, --delete chainrule-specification删除指定规则
-D, --delete chain rulenum删除指定位置的规则
-I, --insert chain [rulenum]rule-specification插入规则
-R, --replace chain rulenumrule-specification替换规则
-L, --list [chain]列出规则
-F, --flush [chain]删除所有规则
-Z, --zero [chain]清空所有计数
-N, --new-chain chain新建链
-X, --delete-chain [chain]删除链
-P, --policy chain target指定默认目标
-E, --rename-chain old-chainnew-chain重命名链
-h,帮助
参数
-s, --source [!] address[/mask]源地址
-d, --destination [!] address[/mask]目的地址
-z, --source-hw [!] hwaddr[mask]源mac
-y, --target-hw [!] hwaddr[mask]目的mac
-i, --in-interface [!] name收到这个包的网卡
-o, --out-interface [!] name要发送这个包的网卡
-a, --arhln [!] value[mask]
-p, --arpop [!] value[mask]
-H, --arhrd [!] value[mask]
-w, --arpro [!] value[value]
-j, --jump target跳到目标
-c, --set-counters PKTS BYTES计数
将源为aaaa目的不是cccc的转发包伪装为源地址是bbbb
iptables -t nat -A POSTROUTING -saaaa ! -d cccc \
-j SNAT --to bbbb
将源不是cccc,目的是aaaa的包丢掉
arptables -A IN ! -s cccc -d aaaa -jDROP
将源是aaaa,目的不是cccc的请求包发给bbbb
arptables -A OUT -s aaaa ! -d cccc-j mangle \
--mangle-ip-s bbbb