PVE 防火墙开启 IP Filter + MAC Filter 能有效防御 ARP 攻击吗?在 PVE 论坛找到的帖子说可以,但是 GPT 告诉我不可以,因为 ARP 攻击发生在第 2 层而软件防火墙工作在第三层
drymonfidelia · 22 天前 · 1443 次点击没学过网络,查了好久还是没办法确定
 |
1
logic2 22 天前
软件层面防不住 arp 的,这个东西得靠二层交换机把硬件 mac 地址跟端口绑定住,且硬件层面把不符合硬件网口的 arp 包过滤掉
|
|
2
logic2 22 天前
普通交换机的以太网协议 就是一个匿名论坛,谁都可以吼一嗓子,谁都可以应答
|
 |
3
snoopygao 22 天前
arp 攻击主要是在内网中,一是发送 ARP 包把自己伪造成网关或者重要服务器,破坏正常访问,二是发送大量 ARP 包,造成交换机或者网关拥塞。不知道你的网络是有什么顾虑
|
 |
4
ihciah 22 天前
网卡是 pve 虚拟出来的,IP 是 pve 下发的,它完全可以知道某个包在发出时合不合法,理论上应当可以。
|
 |
5
HK560 22 天前
pve 虚拟出来的网络接口并不是物理上的,所以可能如 4 楼说的,pve 是能够管控到整个二层三层
|
 |
6
allplay 22 天前 via Android  1
PVE 所处的地位是可以的,但没那功能,你得 diy
|
 |
7
abcbuzhiming 21 天前
PVE 是虚拟机吧,那么它是一个模拟器,它的硬件通路(交换和路由)是软件代码模拟出来的,当然有和真实硬件一样的功能,即可以对工作在第二层上的数据包进行操作。
GPT 的回答也没错,它的理解可能认为你使用的是工作在真实硬件上的软件防火墙,那个无法操作第二层的数据报,自然没法防御 ARP |
 |
8
drymonfidelia OP @snoopygao 担心有 VM 被黑后 MITM 获取其它 VM 内网通信流量
|
|
9
ihciah 21 天前 via iPhone
@drymonfidelia 猜你想找:bridge isolated on? pve 里勾一下就行,缺点是太隔离了。
如果你想二层保持互通,过滤非法 arp 包的话可以 ebtables 手动绑 mac 地址和 ip 滤 arp 包。看了下我的 pve 后台确实没这种开关。特殊处理某个协议确实也挺奇怪的,但这种常见需求多少留个一键开关才合理吧。 |
|
10
drymonfidelia OP @ihciah 你说的是 VNets 里面的 Isolate Ports 么,SDN 那边的功能我都没弄明白,现在我的做法是每个虚拟机分别给一个 Linux Bridge ,这样所有到其它主机网段的流量都必须通过网关转发,我查了下 ARP 是没办法跨网关的,应该足够安全了吧?
|
Select Language