如何像 EC 2 一樣在 LAN（使用者作業系統外）實現防火牆？

在 aws ec2 中，使用者可以設置像防火牆一樣工作的安全組，通常，防火牆在網關/nat 伺服器後面工作，但是，我發現 EC2 中的防火牆也可以在 LAN 中工作。

例如，使用者有太多實例，A: 10.108.33.13/26, B: 10.108.33.18/26，根據ipand netmask，他們在同一個區域網路中，但是，如果我將這些實例放在不同的安全組中（並且規則阻止來自不同 sgs 的訪問），防火牆就會對它們起作用。

我的問題是，我認為防火牆僅適用於 ip 和埠所在的 Layer3/4。在 LAN 中，主機之間的流量通過第 2 層（按 MAC 地址）。怎麼可能在區域網路中實現這樣的防火牆？

PS我檢查了每台主機上的iptables，我確定它已經停止了。

一大堆更高級的 L3 交換機支持ACL，每個數據包/幀在進入時都會被檢查 - 無論它是否會進入交換機的路由引擎。這樣，對同一廣播域內的主機的限制可以相當容易地實現，儘管應該注意 ACL 的處理通常不像有狀態數據包過濾器所期望的那樣複雜（主要是因為處理邏輯是在電路而不是軟體）。

話雖如此，由於亞馬遜正在使用 Xen 進行虛擬化，因此他們將大量使用虛擬交換/Linux 橋接，並且可能會在軟體層內實現過濾 -能夠在橋接介面上進行 IP 過濾的ebtables將是一個很好的候選者用於引擎蓋下的處理。

引用自：https://serverfault.com/questions/485925