Назад | Перейти на главную страницу

Как отключить передатчик или приемник NIC в Linux

Можно ли отключить tx или rx в сетевой карте? Я настраиваю машину для мониторинга сети, и я хотел бы быть уверен, что эта машина не внесет никаких пакетов в сеть.

Один из подходов - использовать какую-то функцию netfilter, чтобы заблокировать все исходящие пакеты с этого интерфейса. Но это добавит дополнительной работы серверу, так как ему потребуется фильтровать все пакеты, которые могут покинуть интерфейс.

Самый простой способ сделать это - использовать специальный кабель без подключенного контакта TX. Кабели изготовить несложно, просто нужно соблюдать правильный цветовой рисунок. Вам также необходимо убедиться, что вы вставили в компьютер разъем для отключения передачи, а не переключатель, но это легко исправить, если вы ошиблись. :)

Если вы используете Linux, вы можете использовать iptable для блокировки всего трафика:

iptable -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP

Я настраиваю машину для мониторинга сети, и я хотел бы быть уверен, что эта машина не внесет никаких пакетов в сеть.

Эта часть не имеет особого смысла.

И как тогда вы планируете использовать саму систему? Даже системе сетевого мониторинга потребуется доступ для отправки трафика. Уведомления по электронной почте, SMS-уведомления, исходящие ping-тесты и т. Д. Он не может работать эффективно, если все, что он делает, это получает.

[Вопрос немного устарел, но я думаю, что ни один из ответов не дал полного ответа.]

Предположения

  1. Сценарий описан Джоном: система перехвата сети с:

    • один сетевой адаптер для удаленного управления (который, следовательно, должен получать и передавать)
    • второй сетевой адаптер, который будет получать зеркальные пакеты от сетевого коммутатора (но который не должен передать)
  2. Интерфейс управления - eth0, а интерфейс сниффинга - eth1.

Подходить

  1. Я согласен, что лучшее решение - это модифицированный кабель, если ваш коммутатор его поддерживает. В дополнение к спискам ACL на сетевом коммутаторе (см. Ниже) этот кабель является линией защиты от ошибок конфигурации, которые непреднамеренно приводят к утечке информации через интерфейс сниффинга.
  2. Приведенные ниже команды iptables не защищают вас от атак через контролируемый интерфейс даже с модифицированным кабелем. Быть определенный что ваша система сниффинга:
    • не имеет никаких служб (например, ssh), прослушивающих интерфейс сниффинга
    • в ядре отключена переадресация IP (через / proc / sys / net / ipv4 / ip_forward или /etc/sysctl.conf для предпочтения)
    • использует уникальные пароли
    • не доверяет никакая другая система
    • обновляется с помощью исправлений безопасности
    • имеет входящие (то есть от системы сниффинга к коммутатору) ACL на порту сетевого коммутатора для интерфейса управления, чтобы контролировать, что система сниффинга может выдавать
    • имеет входящие ACL на порту сетевого коммутатора для интерфейса сниффинга, чтобы отбрасывать все пакеты.

Команды

Для iptables под Linux:

iptables --insert OUTPUT 1 --out-interface eth1 --jump DROP
iptables --flush FORWARD
iptables --append FORWARD --jump DROP
iptables --policy FORWARD DROP

Эта первая строка вставляет правило в Начало таблицы правил вывода и не должны влиять на другой трафик.

YMMV, потому что я не тестировал ;-).

--klodefactor