我正在尝试阻止网络上的某些主机外出/打电话回家。
所以我有 2 个区域。
[root@eagle ~]# firewall-cmd --get-active-zones
external
interfaces: enp2s0
internal
interfaces: eno1
伪装成external
[root@eagle ~]# firewall-cmd --zone=internal --query-masquerade
no
[root@eagle ~]# firewall-cmd --zone=external --query-masquerade
yes
我有一条丰富的规则来丢弃我想要的 MAC 地址的数据
[root@eagle ~]# firewall-cmd --zone=external --list-rich-rules
rule source mac="40:16:3B:63:72:E0" drop
但它似乎不起作用。我检查的明显事项是将它们添加为永久规则并确保我重新加载了规则。
任何帮助表示感谢
答案1
您正在为外部区域添加 MAC 规则,即enp2s0。通过该接口发出的以太网帧的enp2s0源 MAC 地址为 的 MAC 地址。
如果要匹配内网设备,则需要在internal使用接口的区域中添加MAC匹配规则eno1,并在接收客户端发送的帧时将客户端MAC地址视为源MAC地址。
这意味着您还需要在规则中添加目标 IP 地址匹配。