Como você adiciona uma whitelist de roteamento baseada em MAC com o DD-WRT e o cliente OpenVPN?

2

Eu tenho um cliente OpenVPN configurado no meu roteador doméstico DD-WRT que mantém uma VPN em meu local de trabalho.

Ligeiro problema: não quero que os utilizadores aleatórios que acedam ao meu AP sem fios tenham acesso à VPN da minha empresa. (sim, ele está razoavelmente bem aceito, mas tenho motivos para tomar outras providências).

Pode o iptables ser convencido a recusar o encaminhamento para todos os endereços MAC de origem, exceto alguns que eu especificar? Eu tentei usar o parâmetro --mac-source da seguinte forma:

iptables -I FORWARD -i br0 -o tap0 -j REJECT
iptables -I FORWARD -i br0 -o tap0 -j ACCEPT --mac-source 00:01:02:03:04:05

A regra REJECT funciona, mas a regra ACCEPT não. (observe que o parâmetro -I está sendo usado para garantir que a regra ACCEPT seja anterior à regra REJECT ).

Alguém mais já experimentou a criação de uma lista de permissões como essa?

    
por mpontillo 26.07.2011 / 01:29

1 resposta

2

Pelo que entendi, seu problema aqui é que os endereços MAC são apenas uma opção válida para as tabelas PREROUTING e POSTROUTING. Eu fiz isso da seguinte maneira desajeitada ...

  1. Na tabela de pré-formatação na interface de entrada da LAN, selecione o endereço MAC da máquina que você deseja deixar passar e use DNAT para alterar o endereço IP para um de sua escolha que não estaria em uso.

    -A PREROUTING -i eth1 -m mac --mac-source xx: xx: xx: xx: xx: xx -j DNAT - para 192.168.2.200 -m comentário --comment "máquina a ser permitida"

  2. Na tabela FORWARD, defina uma regra para aceitar esse IP, com uma política para FORWARD, caso contrário, para eliminar todo o tráfego.

    -A AVANÇAR -s 192.168.2.200 -j ACCEPT

por 09.01.2016 / 16:47