Това не е решение. Така създаваш просто една статична ARP таблица. Твърде вероятно ако не си сет-нал NOARP (ifconfig dev -arp) за интерфейса, не след особено много време арп таблицата на машината ще започне пак да отразява "реалната" ситуация. Отделно, че дори да си набиеш статична арп таблица, това ще важи само за машината, на която си го направил. Никой не е казал, че единствено тя ще отговаря на АРП заявките на някой нов включил се вандал, нито пък че ще отговаря първа, преди останалите машини в етернет сегмента, т.е комуникация между тях ще има, каквото и да направиш. Иначе, ако машината, на която слагаш твоя си арп таблица се явява някакъв рутер към интернет, така (съчетано с НАТ-ване единствено на "позволени" ип адреси) почти ефективно ще позволяваш само на познати двойки ИП-МАК да ползват интернет...докато вандалите не се сетят да си spoof-ват мак адреса де.
Предполагам би било възможно да се реализира друг вариант..да си имаш една статична АРП таблица, да се напише някакъв шит, който постоянно гледа за АРП заявки, които идват от непознати МАК адреси и когато това се случи, да извърши една "arpspoof" гавра със новия МАК адрес - да го накараш да вярва че всички ИП адреси на реални съществуващи машини отговарят на някакъв несъществуващ мак адрес. Това звучи идиотско, но предполагам че ефективно ще прецака всякаква комуникация между новия вандалски хост и всички останали в етернет сегмента.. Реализацията на тва няма да е особено проста обаче и ще иска повече усилия. Определено няма да стане с 10 реда шел скрипт
'> И всъщност пак не е гаранция - първо че вандала може да си подправи МАК адреса и второ че вандала също може да си има една статична арп таблица (и NOARP) и да не му пука с какви лъжливи глупости го заливаш
'>
(почти) абсолютната сигурност идва с ползването на суич с порт секюрити. Много малко вероятно е вандала-хахор, който се включи в мрежата да знае на този порт какъв мак адрес е позволен да се върже. Без да го нацели по някакъв начин, нито един пакет няма да мине от и към неговия интерфейс. Вържеш ли го към "тъп" суич, всичко, което е предназначено за него ще си минава, отделно всичко което излиза от него ще се препраща където трябва. Това е неприятния side-effect от цялата работа - все пак разликата в цената от $20-30 за прост суич от близкия магазин (в сравнение със стотици долари за един catalyst) не е случайна
'>