В каждой сети рано или поздно появляются пользователи, страждущие до чужого “интернета”. Начинают они обычно с простых вещей, таких как смена IP адреса для своего компьютера. На шлюзе в моей сети в правилах iptables был разрешён доступ только определённым связкам mac — ip address, поэтому изменение IP адреса не давало возможности выйти в интернет от чужого имени. И такие пользователи обычно требуют более тщательного контроля. 🙂
Как отследить попытки изменения IP адресов? С этой задачей неплохо справляется утилита arpwatch. Всё что нужно, это установить её и провести небольшую настройку:
gateway:~# apt-get install arpwatch
Теперь настроим файл /etc/aprwatch.conf, поместим в него строчку:
eth0 -m alexey@localhost
eth0 на шлюзе смотрит в локальную сеть, на нём я и буду контролировать все возможные изменения ip адресов. На указанный e-mail будут приходить письма с уведомлением об изменениях ip и mac адресов.
gateway:~# /etc/init.d/arpwatch restart
Рестартарт демона — и он готов к работе. 🙂
Есть правда несколько минусов этой утилиты — по письмам не очень удобно смотреть кто именно “балуется” в сети. Приходится сверяться по другим данным (в моём случае можно использовать информацию из DHCP сервера). И второй минус — если “злоумышленник” будет более сообразительным, он сменит не только ip адрес, но и mac адрес. Таким образом он останется незамеченным и сможет воспользоваться “чужим интернетом”. Как защититься от проделок подобного рода я напишу в одной из следующих записей. 🙂