是否可以创建 iptables 规则,允许从特定 MAC 地址从外部网络(wan eth0 后面)访问内部适配器(安全 lan eth1)后面的特定 IP 地址?
模型:
10.0.1.2 <- 10.0.1.1 <- FW <- 192.168.1.15 <- 08:00:00:00:01:00
安全 LAN IP <- 路由器 LAN <- 转发规则 <- 路由器 WAN <- 允许的 MAC
路由器应该只进行过滤。安全局域网 IP 应该只能从手动编码的外部 MAC 访问。可能在特定端口上。无需从安全局域网与外部通信。
这样做的目的是仅使用 NAS 设备创建安全的 Extra-LAN,并通过 MAC 地址过滤器保护它们免受普通 LAN 的无人值守访问。
答案1
看起来唯一可能的选择是使用这两个规则向前链式筛选桌子:
ipconfig -A FORWARD -m mac --mac-source 08:00:00:00:01:00 -j ACCEPT
ipconfig -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
- 因为缺乏–mac 目标iptables 中的选项
IPTABLES 配置是严格 DROP,以禁用任何其他流量:
iptables -P 输入丢弃
iptables -P 输出丢弃
iptables -P 转发丢弃
- 它可以(应该)用输入和输出接口、IP 地址、端口号和此类功能进行重新调整,以加强通过 FORWARD 链和路由器自身的访问
答案2
在谷歌搜索“iptables allow MAC”时,第一个结果为https://www.cyberciti.biz/tips/iptables-mac-address-filtering.html
从那里:
iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT
这就是你要找的吗?你也可以使用目标 IP 进行扩展,即:
iptables -A INPUT -p tcp -d 10.0.1.2 --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT