Shorewall

Shorewall - 按源 MAC 地址過濾萬用字元

  • October 9, 2017

我目前有一台 Debian PC,有兩個網路介面作為路由器/網關。

我有幾個便宜的 IP 攝影機,它們試圖訪問外部服務,大概是為了某種“雲”功能。無法禁用此功能。

我想向 Shorewall 添加規則,以丟棄來自這些攝像頭的出站數據包,以防止它們訪問網際網路。過去,我使用過類似的方法來防止二手消費級 VOIP 設備下載不需要的配置文件。

為此,我可以為每台攝影機按 MAC 地址或 IP 添加過濾器。這有點乏味。例如

DROP local:~AA:BB:CC:11:22:33
DROP local:~AA:BB:CC:11:22:44
DROP local:~AA:BB:CC:11:22:55
etc..

我可以使用某種萬用字元嗎?例如

DROP local:~AA:BB:CC:*

攝影機與其他幾個設備共享一個子網,將它們移動到新子網只是為了對其應用防火牆規則是不可取的。

核心 3.16.0-4-amd64 上的防火牆版本為 5.0.15.6

簡短的回答是:不,你不能。

Shorewall 對介面名稱(即使用 ‘ppp+’;將匹配 ppp0、ppp1、ppp2..等)和埠名稱(http://shorewall.net/manpages/shorewall-interfaces.html)的萬用字元支持有限,但不支持用於mac地址或IP地址。

我還做了一個快速測試,只得到“錯誤:無效的 MAC 地址……”。

引用自:https://serverfault.com/questions/877576