Shorewall
Shorewall - 按源 MAC 地址過濾萬用字元
我目前有一台 Debian PC,有兩個網路介面作為路由器/網關。
我有幾個便宜的 IP 攝影機,它們試圖訪問外部服務,大概是為了某種“雲”功能。無法禁用此功能。
我想向 Shorewall 添加規則,以丟棄來自這些攝像頭的出站數據包,以防止它們訪問網際網路。過去,我使用過類似的方法來防止二手消費級 VOIP 設備下載不需要的配置文件。
為此,我可以為每台攝影機按 MAC 地址或 IP 添加過濾器。這有點乏味。例如
DROP local:~AA:BB:CC:11:22:33 DROP local:~AA:BB:CC:11:22:44 DROP local:~AA:BB:CC:11:22:55 etc..
我可以使用某種萬用字元嗎?例如
DROP local:~AA:BB:CC:*
攝影機與其他幾個設備共享一個子網,將它們移動到新子網只是為了對其應用防火牆規則是不可取的。
核心 3.16.0-4-amd64 上的防火牆版本為 5.0.15.6
簡短的回答是:不,你不能。
Shorewall 對介面名稱(即使用 ‘ppp+’;將匹配 ppp0、ppp1、ppp2..等)和埠名稱(http://shorewall.net/manpages/shorewall-interfaces.html)的萬用字元支持有限,但不支持用於mac地址或IP地址。
我還做了一個快速測試,只得到“錯誤:無效的 MAC 地址……”。