Linux中的ARP包过滤利器（手把手教你使用arptables命令）

什么是ARP和arptables？

ARP 是一种用于将IP地址解析为MAC地址的协议。例如，当你的电脑要向局域网中的另一台设备发送数据时，它首先需要知道对方的MAC地址，这时就会广播一个ARP请求。

然而，ARP协议本身没有认证机制，容易受到ARP欺骗（如中间人攻击）。为了增强网络安全，Linux提供了 arptables 工具，用于对进出系统的ARP数据包进行过滤、修改或丢弃，从而实现ARP防火墙的功能。

安装arptables

大多数现代Linux发行版默认未安装arptables，你需要手动安装：

Ubuntu/Debian:

sudo apt updatesudo apt install arptables  

CentOS/RHEL:

sudo yum install arptables# 或者在较新版本中sudo dnf install arptables  

arptables基本语法

arptables的语法与iptables非常相似，主要结构如下：

arptables [选项] -A 链名 -s 源IP/MAC -d 目标IP/MAC -j 动作  

常用链（chain）包括：

• INPUT：处理发往本机的ARP包
• OUTPUT：处理本机发出的ARP包
• FORWARD：处理转发的ARP包（需开启转发）

实战：使用arptables阻止恶意ARP请求

假设你发现某台设备（IP: 192.168.1.100，MAC: aa:bb:cc:dd:ee:ff）正在发送伪造的ARP响应，你可以通过以下命令阻止它：

sudo arptables -A INPUT -s 192.168.1.100 --source-hw aa:bb:cc:dd:ee:ff -j DROP  

这条命令的意思是：在INPUT链中添加一条规则，如果ARP包的源IP是192.168.1.100且源MAC是aa:bb:cc:dd:ee:ff，就直接丢弃（DROP）该包。

查看和清除规则

查看当前所有ARP规则：

sudo arptables -L  

清空所有规则（谨慎操作！）：

sudo arptables -F  

保存规则（持久化）

默认情况下，arptables规则在重启后会丢失。你可以将其保存到文件并在启动时加载：

# 保存规则sudo arptables-save > /etc/arptables.rules# 恢复规则sudo arptables-restore < /etc/arptables.rules  

你也可以将恢复命令加入开机启动脚本（如/etc/rc.local），实现自动加载。

总结

通过本文，你应该已经掌握了 arptables 的基本用法。作为一款强大的ARP防火墙工具，它能有效提升局域网的安全性，防止ARP欺骗攻击。结合Linux网络管理知识，你可以构建更安全的网络环境。记住，合理使用ARP表过滤策略，是保障内网通信安全的重要一环。

现在，就去你的Linux系统中试试吧！遇到问题欢迎留言交流～