IPTABLESは、特定の外部MACから特定の内部IPへの転送のみを許可しますか?
外部ネット(wan eth0の背後)から特定のMACアドレスから内部アダプター(safe lan eth1)の背後の特定のIPアドレスのみへのアクセスを許可するiptablesルールを作成することは可能ですか?
モデル:
10.0.1.2 <-10.0.1.1 <-FW <-192.168.1.15 <-08:00:00:00:01:00
安全なLANIP <-ルーターLAN <-フォワードルール<-ルーターWAN <-許可されたMAC
ルーターはフィルタリングのみを行う必要があります。安全なLANIPには、MACの外部で手書きでコーディングされたものからのみアクセスできる必要があります。おそらく特定のポートで。安全なLANから外部に通信する必要はありません。
これの目的は、NASデバイスのみを備えたクリートセーフなExtra-LANであり、MACアドレスフィルターを介して通常のLANからの無人アクセスからデバイスを保護することです。
可能なオプションは、これら2つのルールを[〜#〜] forward [〜#〜] chain in [〜#〜] filter [〜#〜]で使用することだけのようです。 =テーブル:
ipconfig -A FORWARD -m mac --mac-source 08:00:00:00:01:00 -j ACCEPT
ipconfig -A FORWARD -m state --state ESTABLISHED、RELATED -j ACCEPT
- iptablesに-mac-destiantionオプションがないため
IPTABLES構成は、他のトラフィックを無効にするための厳密なDROPです。
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
- 入力および出力インターフェイス、IPアドレス、ポート番号などの機能で再調整して、FORWARDチェーンおよびルーター自体を介したアクセスを強化することができます(すべきです)。
「iptablesallowMAC」をグーグルで検索したときに最初にヒットするのは https://www.cyberciti.biz/tips/iptables-mac-address-filtering.html
そこから:
iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT
それはあなたが探しているものですか?宛先IPでも拡張できます。別名:
iptables -A INPUT -p tcp -d 10.0.1.2 --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT