我想知道是否可以使用 iptables 强制执行 MAC 地址到 IP 的限制,以防止用户窃取 IP。基本上只是寻找一种方法来指定 MAC X 只能使用 IP Y 和 Z。
我知道你可以在一些第 3 层路由器上设置静态 ARP 条目,但是我的路由器无法做到这一点,因此我正在考虑设置一个 Linux 机器来执行我的第 3 层路由并让它执行强制执行。
答案1
虽然 Zypher 的评论是正确的,而且除了 wallport 级别之外,其他级别的 MAC 地址过滤都没什么用,但如果您真的想这样做,iptables 可以处理。查找macmatch 扩展(提供--mac-source选项),在 (8) 中有方便的记录iptables。
请注意,这只能在通过所有流量的设备中工作,否则人们仍然可以使用他们喜欢的任何 MAC 地址窃取您的 LAN 上的 IP 地址,只是您的路由器不会路由数据包。因此,原则上,您需要将每个交换机端口放在自己的 VLAN 上,使用中继将所有这些数据包发送到您的中央机箱中,可能还要进行大量的代理 ARP,然后准确找出您的小型路由器实际上可以传递多少流量。或者您可以购买更好的交换机,或者礼貌地要求人们不要将随机设备插入网络(否则会被坦克碾过)。如果需要,我可以帮您联系可靠的坦克供应商。