Eu tenho dois sistemas que estão conectados via Ethernet e um sistema tem um rádio WiFi que fornece acesso à Internet.
Neste diagrama, o sys # 2 tem o rádio WiFi
sys#1 <---> Ethernet <---> sys#2 <---> wifi <---> internet
sys # 2 encaminha pacotes da Ethernet (interface eth0) para wifi (interface wlan0). o sys # 2 se conecta a um AP, o sys # 2 não atua como um AP em si. Eu estou procurando uma maneira de usar nftables ou iptables para filtrar e descartar pacotes no sys # 2 que não possuem um sistema de correspondência MAC # 1. Eu estaria mais interessado em descartar pacotes que chegam na Ethernet. O que estou tentando proteger é impedir que alguém se conecte ao sistema 2 e ganhe acesso à rede WiFi.
Isso é possível com nftables? Eu sei que alguém poderia falsificar seu MAC para contornar isso, mas isso é apenas uma medida temporária até que possamos proteger a conexão com IPSEC ou VPN.
Editar: Executar o comando nft sugerido resulta em um erro:
# nft add rule filter input iif eth0 ether saddr != A4:A3:A3:00:00:00 drop
<cmdline>:1:1-68: Error: Could not process rule: No such file or directory
# ifconfig eth0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 metric 1
inet 10.0.1.1 netmask 255.255.255.0 broadcast 10.0.1.255
...
Usando o nft , para descartar todos os quadros Ethernet recebidos da interface de rede eth0 e não tem o endereço de origem de 00:00:5e:00:53:00 :
nft add rule filter input iif eth0 ether saddr != 00:00:5e:00:53:00 drop
iptables permite uma filtragem semelhante com Mac extensão :
iptables -A INPUT -i eth0 -m mac ! --mac-source 00:00:5e:00:53:00 -j DROP