мониторинг соответствия IP-MAC

0

0

Не подскажете прогу для мониторинга соответствия IP-MAC ?
Нужно отследить смену IP адреса пользователем. В идеале хотелось бы найти программу, которая бы запоминала какой IP адрес использует конкретный компьютер и писала бы в лог предупреждения, если с этого физического адреса пойдет трафик с другим IP.

Есть какие варианты?

Ссылка

←	Подсчёт траффика iptables

Pure-ftpd и rc-update на Gentoo Linux

→

arp -a|awk '{print $4,$2}'|sed '{s/[()]//g}' >> arp.ref
cat arp.ref |sort|uniq > arp.tmp
mv -f arp.tmp arp.ref
cat arp.ref |awk '{print $1}'|uniq -d|mail -s "Multiple ARP/IP pairs found for this ARP's" root

Соединяешь все это в один скрипт и ставишь его в крон шлюза с такой периодичностью, с какой хочешь следить за ситуацией(письма однако будешь получать с той же завидной регулярностью).

anonymous
(27.03.06 22:27:40 MSD)

Ответ на: комментарий от anonymous 27.03.06 22:27:40 MSD

первая версия доволько коряво получилась-письма будут идти независимо от того, найдены множественные пары для MAC адресов или нет, что быстро надоест. А посему так:

arp -a|awk '{print $4,$2}'|sed '{s/[()]//g}' >> arp.ref
cat arp.ref |sort|uniq > arp.tmp
mv -f arp.tmp arp.ref
RESULT=`cat arp.ref |awk '{print $1}'|uniq -d`
if [ "a$RESULT" != "a" ]; then
echo $RESULT|mail -s "Multiple MAC/IP pairs found for this ARPs" root
fi

Теперь это будет ругаться только когда появятся лишние пары и будет ругаться до тех пор пока не разрулишь ситуацию и не удалишь лишнюю строчку из arp.ref

anonymous
(27.03.06 22:57:51 MSD)

Ответ на: комментарий от anonymous 27.03.06 22:57:51 MSD

а arpwatch не подойдет разве?

~~zgen~~ ★★★★★
(27.03.06 23:30:44 MSD)

Ответ на: комментарий от zgen 27.03.06 23:30:44 MSD

cat arp.ref |sort|uniq > arp.tmp
cat: arp.ref: Нет такого файла или каталога
и пустой он

anonymous
(28.03.06 09:39:56 MSD)

Ответ на: комментарий от anonymous 28.03.06 09:39:56 MSD

на почту постоянно идет <incomplite>, в arp.tmp такой записи нет, интересно откуда берет?

anonymous
(28.03.06 11:42:04 MSD)

Ссылка

Ответ на: комментарий от anonymous 27.03.06 22:27:40 MSD

Кстати, arp -a почему то выдает список всего из ~10 позиций, хотя к серверу обращаются не менее 60 компьютеров....
Почему так может быть и где подкрутить?

anonymous
(28.03.06 11:49:26 MSD)

Ответ на: комментарий от anonymous 28.03.06 11:49:26 MSD

arp таблица постоянно обновляется и старые записи оттуда удаляются. incomplete возникают когда машинка отключилась, а запись еще не исчезла, то есть машина про IP еще помнит, ARP'а уже нет. Скрипт постепенно соберет первую информацию по машинкам в твоей сети, когда они все постепенно появятся в сети. Чтобы избавиться от incomplete меняем первую строку скрипта с
arp -a|awk '{print $4,$2}'|sed '{s/[()]//g}' >> arp.ref
на
arp -a|grep -v incomplete|awk '{print $4,$2}'|sed '{s/[()]//g}' >> arp.ref

anonymous
(28.03.06 14:50:00 MSD)