English howto (corrected by Chris)

You are the administrator of a big LAN for which physical access is difficult to control. You know that viruses and data theft can happen due to external machines that connect to the LAN without authorization. You must to monitor these illegal connections. This is where Arpalert can help you.

Start by downloading the Arpalert archive on the official web site. You must compile the source code because packages are not provided. A simple ./configure --prefix=/usr/local/arpalert && make && make install with root privileges will install the application on your computer. You can specify the install base directory with the parameter --prefix after the ./configure command. By default the base directory is /usr/local/arpalert.

A default config file is located in /usr/local/arpalert/etc/arpalert/arpalert.conf. These defaults parameters are usable in most configurations.

Continuing with root privileges, launch the program with the command /usr/local/arpalert/sbin/arpalert -d. The option -d launches the program in daemon mode. If you always want to run Arpalert in daemon mode, you must to edit config file and replace daemon = false by daemon = true. If you watch the /var/log/messages file, you will see all the machines detected on the network. These machines are recorded in the /usr/local/arpalert/var/lib/arpalert/arpalert.leases file.

When all the local network machines are discovered, copy the file /usr/local/arpalert/var/lib/arpalert/arpalert.leases into the maclist.allow file (cat /usr/local/arpalert/var/lib/arpalert/arpalert.leases > /usr/local/arpalert/etc/arpalert/maclist.allow). Don't hesitate to add new mac addresses to this file. Restart the deamon, and the program will run. Now all the new computers detected are probably intruders and they are logged. You can run Arpalert with a script to alert you by e-mail (for example). Script examples are in the directory "scripts".

French howto

Vous êtes administrateur d'un lan relativement vaste mais aux accès particulièrements incontrolables. Sachant que les contaminations virales et les vols de données viennent le plus souvent de machines etrangères au réseau qui se connectent sans autorisation, il faut impérativement monitorer ces connexions illicites. C'est à ce niveau là qu'intervient ArpAlert.

Commencez par télécharger la dernière révision du programme sur le site officiel. Vous devrez passer par les sources, les différentes formes de packaging ne sont pas gérées. Un traditionel ./configure --prefix=/usr/local/arpalert && make && make install avec les droits root installera l'application sur votre machine. Vous pouvez préciser dans le ./configure l'emplacement du répertoire de base, par défaut celui ci sera /usr/local/arpalert.

Un fichier de configuration par défaut sera placé dans /usr/local/arpalert/etc/arpalert/arpalert.conf. Celui ci est fonctionnel pour la plupart des configurations.

Toujours sous le compte root, démmarrez maintenant le programme par un simple /usr/local/arpalert/sbin/arpalert -d. le -d permettra le lancement en mode daemon. Pour automatiser le mode deamon au démarage editez le fichier de configuration et remplacez la ligne daemon = false par daemon = true. Vous pouvez faire un tail -f /var/log/messages (ou /var/log/syslog selon les distributions) et vous verrez toute les machines de votre réseau détectées. Ces nouvelles machines seront stockées dans le fichier /usr/local/arpalert/var/lib/arpalert/arpalert.leases quelques cat sur ce fichier vous laisserons voir la liste des machines detectées.

Lorsque toutes les machines du réseau local ont été découvertes recopiez le contenu de ce fichier dans le fichier maclist.allow (cat /usr/local/arpalert/var/lib/arpalert/arpalert.leases > /usr/local/arpalert/etc/arpalert/maclist.allow), n'hésitez pas à compléter ce fichier à la main. Redémarrez le démon, l'application fonctionne. À partir de maintenant toutes les nouvelles machines détectées sont des intrus potentiel et un message sera émis dans les logs.