Shorewall - 按源 MAC 地址過濾萬用字元

我目前有一台 Debian PC，有兩個網路介面作為路由器/網關。

我有幾個便宜的 IP 攝影機，它們試圖訪問外部服務，大概是為了某種“雲”功能。無法禁用此功能。

我想向 Shorewall 添加規則，以丟棄來自這些攝像頭的出站數據包，以防止它們訪問網際網路。過去，我使用過類似的方法來防止二手消費級 VOIP 設備下載不需要的配置文件。

為此，我可以為每台攝影機按 MAC 地址或 IP 添加過濾器。這有點乏味。例如

DROP local:~AA:BB:CC:11:22:33
DROP local:~AA:BB:CC:11:22:44
DROP local:~AA:BB:CC:11:22:55
etc..

我可以使用某種萬用字元嗎？例如

DROP local:~AA:BB:CC:*

攝影機與其他幾個設備共享一個子網，將它們移動到新子網只是為了對其應用防火牆規則是不可取的。

核心 3.16.0-4-amd64 上的防火牆版本為 5.0.15.6

簡短的回答是：不，你不能。

Shorewall 對介面名稱（即使用 ‘ppp+’；將匹配 ppp0、ppp1、ppp2..等）和埠名稱（http://shorewall.net/manpages/shorewall-interfaces.html）的萬用字元支持有限，但不支持用於mac地址或IP地址。

我還做了一個快速測試，只得到“錯誤：無效的 MAC 地址……”。

引用自：https://serverfault.com/questions/877576