想知道Linux下如何防范IP地址被盗用吗

问：Linux下如何防范IP地址盗用？

答：目前IP地址盗用的情况比较多，在Linux 2.4内核中，包过滤模块发生了根本性的变化，完全由内核控制，效率得到了很大的提高,可以有效防范IP地址被盗用。控制内核包过滤的工具，也用IPtables取代了IPchains。在IPtables的标准发布中，就带有MAC地址匹配的模块。可以通过IPtables -m mac 命令来装载它:

IPtables -t nat -P PREROUTING DROP

设置PREROUTING链的默认规则为丢弃，以禁止所有包通过。

IPtables -t nat -A PREROUTING -s 192.168.1.25 -m mac -mac-source !

00:02:01:50:bb:53 -j DROP

检查IP地址为192.168.1.25/32的用户的MAC地址。如果与指定的MAC地址不匹配，说明源自192.168.1.25的包并不是从该网卡上发出的，即是非法用户，就应当丢弃这些包。

IPtables -t nat -A PREROUTING -s 192.168.1.25 -j ACCEPT

如果MAC地址匹配，包才能到达这里，并被允许通过。

(t113)