DD-WRTとOpenVPNクライアントでMACベースのルーティングホワイトリストを追加しますか?
私の職場にVPNを維持するDD-WRTホームルーターに営業している顧客が営業しています。
わずかな問題:私のワイヤレスAPにアクセスして、私の会社のVPNにアクセスできるランダムな説得者が欲しくありません。 (はい、それは許容できるほど確保されていますが、私はさらなるステップをとる理由があります。)
iptablesを除くことを確信して、すべてのソースMACアドレスへのルーティングを拒否します。次のように_--mac-source_パラメータを使用してみました。
_iptables -I FORWARD -i br0 -o tap0 -j REJECT
iptables -I FORWARD -i br0 -o tap0 -j ACCEPT --mac-source 00:01:02:03:04:05
_REJECTルールは機能しますが、ACCEPTルールはそうではありません。 (_-I_パラメーターが使用されていることは、ACCEPTルールがREJECTルールの前に来るようにするために使用されています。)
他の誰かがこのようなホワイトリストを設定する経験を経験していますか?
私がそれを理解しているように、ここでの問題は、MACアドレスが事前管理テーブルとPOSTROUTINGテーブルの有効なオプションにすぎないことです。私は次の厄介なファッションでこれをしました...
LANからの着信インターフェイスのPrerouting Tableで、スルーしたいマシンのMACアドレスを選択し、DNATを使用してIPアドレスを使用して使用していないものではないものに変更します。
-i eth1 -m mac --mac-source xx:xx:xx:xx:xx:xx -j dnat - xx:xx -j dnat - to 192.168.2.200 -m comment - comment "マシン"
順方向テーブルでは、そのIPを受け入れるためのルールを設定し、それ以外の場合はすべてのトラフィックを削除します。
-a forward-s 192.168.2.200 -j