Security

IPTABLES 只允許從特定的外部 MAC 轉發到特定的內部 IP?

  • March 4, 2018

可以創建 iptables 規則,允許從特定 MAC 地址從外部網路(在 wan eth0 後面)訪問內部適配器(安全 lan eth1)後面的特定 IP 地址?

模型:

10.0.1.2 <- 10.0.1.1 <- 韌體 <- 192.168.1.15 <- 08:00:00:00:01:00

安全 LAN IP <- 路由器 LAN <- 轉發規則 <- 路由器 WAN <- 允許的 MAC

路由器應該只做過濾。安全區域網路 IP 應該只能從 MAC 外部的手動編碼中訪問。也許在特定埠上。無需從安全區域網路與外部通信。

這樣做的目的是僅具有 NAS 設備的 crete 安全 Extra-LAN,並通過 MAC 地址過濾器保護它們免受正常 LAN 的無人值守訪問。

看起來唯一可能的選擇是在FILTER表的FORWARD鏈中使用這兩個規則:

ipconfig -A FORWARD -m mac –mac-source 08:00:00:00:01:00 -j ACCEPT ipconfig -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT

  • 因為 iptables 中缺少*–mac-destiantion*選項

IPTABLES 配置嚴格 DROP 以禁用任何其他流量:

*iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP*

  • 它可以(應該)使用輸入和輸出介面、IP 地址、埠號和此類功能進行修復,以加強通過 FORWARD 鍊和路由器自身的訪問

引用自:https://serverfault.com/questions/899836