IPTABLES permite encaminhar somente de um MAC externo específico para um IP interno específico?

1

É possível criar a regra iptables, que permite acesso de rede externa (atrás de wan eth0) de um endereço MAC específico, para um endereço IP específico atrás do adaptador interno (safe lan eth1)?

Modelo:

10.0.1.2 < - 10.0.1.1 < - FW < - 192.168.1.15 < - 08: 00: 00: 00: 01: 00

LAN IP DE SEGURANÇA < - LAN DE ROUTER < - REGRA DE FRENTE < - WAN DE ROUTER < - MAC PERMITIDO

O roteador deve fazer apenas a filtragem. Os lan IPs seguros devem ser acessíveis somente a partir de códigos de mão fora do MAC. Talvez na porta específica. Não há necessidade de se comunicar do lan seguro para o exterior.

O objetivo disso é creticamente seguro: Extra-LAN com apenas dispositivos NAS e protegê-los do acesso não supervisionado da LAN normal através do filtro de endereços MAC.

    
por Peter Maly 03.03.2018 / 21:11

2 respostas

1

Parece que a única opção possível é usar essas duas regras na cadeia FORWARD na tabela FILTER :

ipconfig -A FORWARD -m mac --mac-source 08: 00: 00: 00: 01: 00 -j ACCEPT
ipconfig -A FORWARD -m state - state ESTABELECIDO, RELACIONADO -j ACCEPT

  • porque a falta da opção - mac-destiantion no iptables

A configuração IPTABLES é DROP estrito para desabilitar qualquer outro tráfego:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

  • pode (deve) ser recondicionado com interfaces de entrada e saída, endereços IP, números de porta e tais recursos para proteger o acesso através da cadeia FORWARD e também do roteador
por 04.03.2018 / 12:26
0

O primeiro hit quando googling "iptables permite MAC" é link

De lá:

iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT

é isso que você está procurando? Você pode estender isso com o IP de destino também, também conhecido como:

iptables -A INPUT -p tcp -d 10.0.1.2 --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT
    
por 03.03.2018 / 23:53