É possível filtrar / descartar pacotes pelo MAC usando nftables

1

Eu tenho dois sistemas que estão conectados via Ethernet e um sistema tem um rádio WiFi que fornece acesso à Internet.

Neste diagrama, o sys # 2 tem o rádio WiFi

sys#1  <---> Ethernet <---> sys#2 <---> wifi <---> internet

sys # 2 encaminha pacotes da Ethernet (interface eth0) para wifi (interface wlan0). o sys # 2 se conecta a um AP, o sys # 2 não atua como um AP em si. Eu estou procurando uma maneira de usar nftables ou iptables para filtrar e descartar pacotes no sys # 2 que não possuem um sistema de correspondência MAC # 1. Eu estaria mais interessado em descartar pacotes que chegam na Ethernet. O que estou tentando proteger é impedir que alguém se conecte ao sistema 2 e ganhe acesso à rede WiFi.

Isso é possível com nftables? Eu sei que alguém poderia falsificar seu MAC para contornar isso, mas isso é apenas uma medida temporária até que possamos proteger a conexão com IPSEC ou VPN.

Editar: Executar o comando nft sugerido resulta em um erro:

# nft add rule filter input iif eth0 ether saddr != A4:A3:A3:00:00:00 drop
<cmdline>:1:1-68: Error: Could not process rule: No such file or directory
# ifconfig eth0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500  metric 1
    inet 10.0.1.1  netmask 255.255.255.0  broadcast 10.0.1.255
     ...
    
por dangeroushobo 02.07.2018 / 18:48

1 resposta

3

Usando o nft , para descartar todos os quadros Ethernet recebidos da interface de rede eth0 e não tem o endereço de origem de 00:00:5e:00:53:00 :

nft add rule filter input iif eth0 ether saddr != 00:00:5e:00:53:00 drop
O

iptables permite uma filtragem semelhante com Mac extensão :

iptables -A INPUT -i eth0 -m mac ! --mac-source 00:00:5e:00:53:00 -j DROP
    
por 02.07.2018 / 21:39