Meu servidor rodando no kernel mais recente (4.4.6) configurou um dispositivo de ligação ( bond0 ) com duas interfaces escravizadas eth0 , wlan0 com interface primária eth0 .
cat /proc/net/bonding/bond0
Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)
Bonding Mode: fault-tolerance (active-backup)
Primary Slave: eth0 (primary_reselect always)
Currently Active Slave: wlan0
MII Status: up
MII Polling Interval (ms): 1000
Up Delay (ms): 1000
Down Delay (ms): 1000
Slave Interface: wlan0
MII Status: up
Speed: Unknown
Duplex: Unknown
Link Failure Count: 3
Permanent HW addr: dc:53:60:5f:50:cd
Slave queue ID: 0
Slave Interface: eth0
MII Status: down
Speed: Unknown
Duplex: Unknown
Link Failure Count: 4
Permanent HW addr: b8:ae:ed:7c:7d:c9
Slave queue ID: 0
Eu também executo o iptables para filtrar o tráfego e bloquear algumas portas locais enquanto permito todo o tráfego de saída.
*filter
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8090 -j ACCEPT
O que eu não consigo fazer é criar um mecanismo quando a interface primária eth0 está desativada e o wlan0 está ficando ativo para bloquear o acesso remoto na porta específica.
Eu tentei adicionar uma regra de iptable para wlan0 enquanto sei que não está correto porque a interface é bond0 (Falha)
*filter
-A INPUT -p tcp -i wlan0 -m state --state NEW -m tcp --dport 8090 -j DROP
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8090 -j ACCEPT
Eu tentei adicionar uma regra de iptable para wlan0 para marcar os pacotes na pré-rotina e capturar o filtro (Falha)
*mangle
-A PREROUTING -i wlan0 -j MARK --set-xmark 0x1/0xffffffff
*filter
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8090 -m mark ! --mark 0x1 ACCEPT
Eu tentei adicionar uma regra ebtable para marcar os pacotes em Layer2 e pegar no filtro Layer3 (Failed)
EBTABLE
ebtables -t broute -A BROUTING -p ipv4 -i wlan0 -j mark --set-mark 0x1 --mark-target ACCEPT
IPTABLE
*filter
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8090 -m mark ! --mark 0x1 ACCEPT
Eu gostaria de evitar a solução de endereço MAC porque ela não funcionará na política do Mac: Nenhuma
Alguma idéia?