Dynamic ARP Inspection — технология (by Cisco), позволяющая пропускать ARP-запросы только для тех адресов, которые были выданы по DHCP. Данная технология помогает защититься от атак с использованием протокола ARP (например, ARP-spoofing) и ограничивает пользователей в возможности указания IP адреса «вручную».
Суть технологии сводится к двум этапам:
1) Перехват всех ARP-запросов и ARP-ответов прежде чем перенаправлять их;
2) Проверка соответствия MAC-адреса и IP-адреса из статической ARP таблицы, либо таблицы выданных адресов DHCP.
Как оказалось, в маршрутизаторах от Mikrotik нашлась возможность реализовать данную технологию.
Для настройки необходимо:
1. В конфигурации «IP -> DHCP Server» поставить галочку «Add ARP For Leases». При выборе этой опции DHCP сервер будет автоматически добавлять записи в ARP-таблицу маршрутизатора;
2. В настройки интерфейса (бриджа) необходимо для ARP выставить reply-only. Эта опция переведет таблицу ARP на выбранном интерфейсе (бридже) в режим «только чтение» и не будет принимать ARP-запросы.
Таким образом, маршрутизатор будет коммутировать только те пакеты, для которых DHCP добавит ARP запись.
dhcp провайдера выдает динамический адрес, при only-replay на wan-порте выдаваемый адрес не добавляется в arp, хз что делать,
пока забиндил в arp статически несколько адресов на mac провайдера, пока работает но вариант как бэ… не совсем правильный.
подскажите как правильно сделать (если не сделать такой заглушки то из локалки в инет никто ходить не может)
Добрый день.
Давно использую эту возможность оградить сеть от самозванных ip, все работает отлично, но нужно иметь в виду, что если при опции НЕ reply-only на интерфейсе сервер DHCP уже выдал какие-то ip адреса, то после включения опции reply-only хосты с этими ip окажутся не у дел, нужно будет удалить все эти арендованные ip из списка Leases и выдать их снова.
У меня другая проблема — wifi репитер в связке с микротиком не дает клиенту возможность получить ip. Почему — не знаю, репитер такой наверное. Я на клиенте завожу ip вручную — клиент не видит сеть, что правильно, т.к. установлена опция reply-only. Но я добавляю запись для этого клиента в таблицу ARP на микротике вручную. После этого микротик должен маршрутизировать такого клиента, т.к. в таблице ARP он прописан, но увы, этого не происходит. Не подскажете, как можно решить эту проблему?