arpwatch で DHCP 部分の IP アドレス範囲については検知したくない場合などがあります. Debian の arpwatch では -z オプションを使うと, 特定のネットワークの IP アドレス範囲について無視することが出来ます.
-z オプションが利用出来るかチェックする方法
この機能が利用出来るかチェックするには, 以下を実行して, arpwatch のヘルプを表示し,
sudo arpwatch -h
以下のように [-z ignorenet/ignoremask] が含まれていれば利用出来ます.
Version 2.1a15 usage: arpwatch [-dN] [-f datafile] [-i interface] [-n net[/width]] [-r file] [-s sendmail_path] [-p] [-a] [-m addr] [-u username] [-R seconds ] [-Q] [-z ignorenet/ignoremask]
または, man arpwatch で arpwatch の man ページを表示し, -z オプションが利用出来るかを確認します.
-z オプションの設定方法
-z オプションはネットワークアドレスとサブネットマスクを設定します. -z 192.168.0.1/255.255.255.128 の場合, 192.168.0.0 から 192.168.0.127 までの IP アドレスについて無視することが出来ます. このような設定のため, 無視したい IP アドレスのリストを設定するなどのあまり細かい設定を行なうことは出来ません.
サービスの設定方法
Debian の arpwatch がサービスとして起動する際に, /etc/default/arpwatch 内の ARGS が引数として与えられます. ここに -z オプションを追記することで, サービス起動時に無視する IP アドレスの範囲を設定出来ます.
# Global options for arpwatch(8). # Debian: don't report bogons, don't use PROMISC. ARGS="-N -p -z 192.168.0.1/255.255.255.128" # Debian: run as `arpwatch' user. Empty this to run as root. RUNAS="arpwatch"
設定が完了したら, arpwatch を再起動します.
sudo /etc/init.d/arpwatch restart