发布 BFW 上的 ARP 简单管理工具。

DreamCat

费了我一天半的时间，取舍好难，暂时只发布最小版本吧。功能缺少对整个网段的扫描，只能被动获得。
虽说，arp-scan 已经编译完毕，不过有点大，做成 add-on 大小会增加到 300K。
最小版本的功能也足够用了，而且只有 2K 大小（只有脚本），很适合还在用软盘的朋友们。
由于不清楚 BFW 从什么时候开始不再使用 busybox 的 ip tools，所以我无法确定我做的这个 arpadmin.tgz 适应哪些版本。
我是在 BFW2.30 上完成的。我会尽快增加个版本检查。
这个 add-on 用 /etc/arp.db 来保存 ip mac 以及注释，直接编辑arp.db文件的注意事项：
1、各个段之间必须用 空格 或 “TAB”（\t） 分隔，比如：
     192.168.1.168 00:11:2f:9d:77:1b 注释
     或
     192.168.1.168        00:11:2f:9d:77:1b        注释
2、直接编辑文件之后要进行备份（除非你只是用于试验性质），必须  Reload ARP permanent entry 才会使arp.db中的数据有效。

注释是特别有用的。可以用它明确标注机器名、编号。

NUD_STATE 共有 4 个状态，建议只将 reachable 状态的转为 permanent 状态。stale 状态的IP最可能是发起 arp 攻击的。

补充个简单说明（实在是太简单了，几乎没必要写说明）：
进入 arp manage 后会看到 两个表：
一个是 not partmanent，即所谓的未绑定的 arp ，点右面的 convert to permanent 就可以转为静态 arp。
另一个是 nud partmanent，已绑定的 arp，可以编辑，添加修改 mac 或 注释。出于简化的考虑，ip 不可修改。可以删除已绑定的条目。

BFW重新启动后会自动的把已绑定的 ARP 载入。这也是个必须的功能，所以如果你直接修改了 arp.db 文件，就需要点击 reload partmanent arp entry，才能生效。如果你用其他软件扫描得到就需要这么做。
其实也几乎没有必要用软件扫描获得，原因是网内的客户机都会连接到路由器上，自然会得到 mac 地址。

希望试用过的朋友能给我提出意见。脚本程序可能写得过于简陋，我会在包含主动扫描的版本中完善。
这个版本最适合的还是使用软盘的BFW用户。

[ 本帖最后由 DreamCat 于 2007-3-19 17:16 编辑 ]

DreamCat

补充一下，这个 add-on目前只作用于 eth0，如果你有多个内网接口，也只能对 eth0 设置。稍后我会增加对多个接口设置的功能。

DreamCat

嗯 CL 的肯定都不能用。我在前一个帖子中说明了的，BFW 不知道什么时候开始不再使用 busybox 集成的 ip tools 了。
简单说这个 addon 只是利用 ip neigh 完成的。

lanlong

想问一下，具体这个插件作什么用？怎么用？需要注意什么？

楼主写得太言简意赅了，呵呵！理解起来有点困难

[ 本帖最后由 lanlong 于 2007-3-19 14:44 编辑 ]

DreamCat

简单说就是 路由器 端的 ARP 绑定～～
和其他插件一样的安装方法～，进入 web 管理器就能看到了

dengyuwen

这插件怎样安装啊？

lanlong

原帖由 DreamCat 于 2007-3-19 17:00 发表
简单说就是 路由器 端的 ARP 绑定～～
和其他插件一样的安装方法～，进入 web 管理器就能看到了

明白了。

但是，好像在简单放火墙设置里有arp绑定功能吧？！版主的这个有什么特殊的地方吗？

DreamCat

不想那么做。
一是考虑系统加载的顺序，很难做；
二是BFW2.30中用的IP tools 不是 busybox 集成的，功能很完整。还可以用它做其他插件。

我就纳闷了，你就 不能换一个，2.30 提供了光盘安装方式，一样还可以安装到软盘上，很方便的。

原帖由 a99456820 于 2007-3-20 09:37 发表
楼主,能不能费点心,做一个通用版的呀

也就是说,你把  ip neigh 命令也加入插件呀


我现在一直在用老大的修改版,我又在它上面加了一些自己的修改
所以一直不打算换呀

DreamCat

原帖由 lanlong 于 2007-3-19 20:00 发表



明白了。

但是，好像在简单放火墙设置里有arp绑定功能吧？！版主的这个有什么特殊的地方吗？

:L  还真不清楚～～我已经很久没弄这个了。一会儿看下。

Ip Address and MAC engagement
List the ip and mac addresses you want to match. Example:
192.168.0.10 01:0d:03:0e:00:0f
192.168.0.11 01:0d:03:0e:dd:ff

These rules are only effective when the default policy is Deny access to all internal users

刚看完，简单放火墙设置里确实有这个功能，汗死了！不知道什么时候开始有的，或者即使有了我也没看～！:L
大致看了下，区别是：
我做的这个不是防火墙，只是用 ip neigh 实现 arp entry 的永久状态。
“注释”这个功能还是比较有用的，方便管理。
简单防火墙用的是 iptalbles 完成的IP、MAC过滤。
可以同时使用简单防火墙设置里的 Ip Address and MAC engagement 和我做的这个插件，二者并不冲突。
关键的一点是 简单防火墙里的IP MAC 接合并不能完成ARP绑定。

其实我做的这个插件目的很简单，就是单纯的实现路由器端的ARP绑定。针对的是网内的ARP攻击。可以说是对简单防火墙的补充吧。
原本也有用 iptables -t filter 控制伪造 IP MAC 的访问的打算，不过现在既然BFW自身已经有了，我就不打算做了。

[ 本帖最后由 DreamCat 于 2007-3-21 09:22 编辑 ]

DreamCat

决定放弃对这个插件的继续编写了。

atjj51980

老大，不要啊！
支持老大的好东西啊 ！

老大，这个插件在BFW2.28的版本可以用吗？
要怎么用啊？是不是在做好软盘后，把下载的附件解压后得到的arpadmin.tgz文件放在软盘根目录就可以了，还请指教啊！

DreamCat

是的。和其他插件一样。

原帖由 atjj51980 于 2007-3-30 13:27 发表

                               
登录/注册后可看大图

老大，不要啊！
支持老大的好东西啊 ！

老大，这个插件在BFW2.28的版本可以用吗？
要怎么用啊？是不是在做好软盘后，把下载的附件解压后得到的arpadmin.tgz文件放在软盘根目录就可以了，还请指教啊！

fjwuming

不要,挺好的呀.自带的那个还要自己去加IP,MAC.你这个不要呀,很好用呀.