tips: arpwatch
Добавлено: 2009-09-18 8:08:41
Пользователи растут/развиваются и многие уже знают что такое IP-адрес. Доступ в интернет организован через корпоративный прокси сервер, авторизация в котором проходит через IP. IP прописываются вручную, DHCP с доменом в планах. Ну вообщем некоторые особи любят сменить IP и попользоваться чужим интернетом. Если заметить сразу, то можно покопаться и найти гадов в /var/log/messages. Итого было решено вернуть arpwatch.
arpwatch отслеживает соответствие IP адресов устройств - их MAC адресам и если эти данные вдруг различаются arpwatch тут же сообщает об этом. Можно настроить так, чтобы сообщения приходили на e-mail, с помощью arpwatch можно в интерактивном режиме отслеживать смену IP адресов пользователями в пределах своей подсети.
Ну вообщем:
Всё своё хозяйство arpwatch хранит тут /usr/local/arpwatch/. Для начала необходимо создать соответствие айпи:мак. Делаем:
После чего очищаем 81.dat от ненужной информации.
и запускаем arpwatch^
Информацию по ключам и типы присылаемых отчетов смотрим в man arpwatch.
p.s. У arpwatch есть свой стартовый скрипт в rc.d, но как туда передать нужные мне параметры без правки его я особо разбираться не стал, может кто знает и подскажет?
Из минусов каждый раз при запланированной смене айпи, или компа, или сетевой приходиться править соответствие айпи:мак, когда в сети до 50 компов это еще не так напрягает, но когда более 200-х начинает действовать на нервы.
arpwatch отслеживает соответствие IP адресов устройств - их MAC адресам и если эти данные вдруг различаются arpwatch тут же сообщает об этом. Можно настроить так, чтобы сообщения приходили на e-mail, с помощью arpwatch можно в интерактивном режиме отслеживать смену IP адресов пользователями в пределах своей подсети.
Ну вообщем:
Код: Выделить всё
/usr/ports# make search name=arpwatch
Port: arpwatch-2.1.a15_4
Path: /usr/ports/net-mgmt/arpwatch
Info: Monitor arp & rarp requests
Maint: tabthorpe@FreeBSD.org
B-deps:
R-deps:
WWW: http://ee.lbl.gov/
Код: Выделить всё
/usr/ports# cd /usr/ports/net-mgmt/arpwatch
Код: Выделить всё
/usr/ports/net-mgmt/arpwatch# make install clean
Код: Выделить всё
arp -a > 81.dat
и запускаем arpwatch^
Код: Выделить всё
arpwatch -i em0 -n 172.18.81.0/24 -f /usr/local/arpwatch/81.dat -m my@email.ru
p.s. У arpwatch есть свой стартовый скрипт в rc.d, но как туда передать нужные мне параметры без правки его я особо разбираться не стал, может кто знает и подскажет?
Из минусов каждый раз при запланированной смене айпи, или компа, или сетевой приходиться править соответствие айпи:мак, когда в сети до 50 компов это еще не так напрягает, но когда более 200-х начинает действовать на нервы.