LANから特定のMACアドレスのみを受け入れるホームネットワーク

Question 1

コメントで述べたように、これによって実際のセキュリティが強化されるわけではなく、IP に基づいてブロックする以上のセキュリティが強化されるとも思いませんが、次のような方法でセキュリティが強化されるはずです。

/sbin/iptables -A INPUT -i eth1 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

もちろん、デフォルトのポリシーが DROP であると仮定します。

Answer

コメントで述べたように、これによって実際のセキュリティが強化されるわけではなく、IP に基づいてブロックする以上のセキュリティが強化されるとも思いませんが、次のような方法でセキュリティが強化されるはずです。

/sbin/iptables -A INPUT -i eth1 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

もちろん、デフォルトのポリシーが DROP であると仮定します。

Question 2

まずはここから始めましょう:

iptables -P FORWARD DROP
iptables -I FORWARD -i eth1 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
iptables -I FORWARD -i eth1 -m mac --mac-source XX:XX:XX:XX:XX:BB -j ACCEPT
iptables -P INPUT DROP
iptables -I INPUT -i eth1 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
iptables -I INPUT -i eth1 -m mac --mac-source XX:XX:XX:XX:XX:BB -j ACCEPT

および以外のすべての MAC アドレスではXX:XX:XX:XX:XX:XX、XX:XX:XX:XX:XX:BBルーターまたはインターネットにアクセスできません。

Answer

まずはここから始めましょう:

iptables -P FORWARD DROP
iptables -I FORWARD -i eth1 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
iptables -I FORWARD -i eth1 -m mac --mac-source XX:XX:XX:XX:XX:BB -j ACCEPT
iptables -P INPUT DROP
iptables -I INPUT -i eth1 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
iptables -I INPUT -i eth1 -m mac --mac-source XX:XX:XX:XX:XX:BB -j ACCEPT

および以外のすべての MAC アドレスではXX:XX:XX:XX:XX:XX、XX:XX:XX:XX:XX:BBルーターまたはインターネットにアクセスできません。

Question 3

（私はユーザー63709; どういうわけか、Google OpenID ログインと MyOpenID ログインが分割されましたが、Stack Overflow では実際には同じです)

arptables独自のポリシーがあります。ないiptablesのポリシーと混同しないでください。

「制限したい」ので、[シック] eth1が特定のMACアドレスからのパケットのみを受け入れ、残りを破棄するように設定すると、欲しいデフォルトの DROP ポリシー。

(ところで、上記の arptables ルールに少し間違いがありました。正しくは:)

arptables -P IN DROP
arptables -A IN -i eth1 --source-mac <allowed_mac_address> -j ACCEPT
arptables -A IN -i eth1 --source-mac <allowed_mac_address> -j ACCEPT
... and so on ...

（再度注意するが、IN組み込みチェーンです具体的にはarptablesでのみ見つかります。読むarptables のマニュアルページ詳細については）。

Answer

（私はユーザー63709; どういうわけか、Google OpenID ログインと MyOpenID ログインが分割されましたが、Stack Overflow では実際には同じです)

arptables独自のポリシーがあります。ないiptablesのポリシーと混同しないでください。

「制限したい」ので、[シック] eth1が特定のMACアドレスからのパケットのみを受け入れ、残りを破棄するように設定すると、欲しいデフォルトの DROP ポリシー。

(ところで、上記の arptables ルールに少し間違いがありました。正しくは:)

arptables -P IN DROP
arptables -A IN -i eth1 --source-mac <allowed_mac_address> -j ACCEPT
arptables -A IN -i eth1 --source-mac <allowed_mac_address> -j ACCEPT
... and so on ...

（再度注意するが、IN組み込みチェーンです具体的にはarptablesでのみ見つかります。読むarptables のマニュアルページ詳細については）。

Question 4

Michael、ルールごとに複数の MAC ソースを指定することはできないため、次のようなルールセットが必要になります (iptables を使用する場合)

#Rules for allowing your mac addresses
/sbin/iptables -A FORWARD -i eth1 -m mac --mac-source XX:XX:XX:XX:XX:11 -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -m mac --mac-source XX:XX:XX:XX:XX:22 -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -m mac --mac-source XX:XX:XX:XX:XX:33 -j ACCEPT
#One final rule to drop all packets which do not match one of the rules above (are not from one of your allowed macs)
/sbin/iptables -A FORWARD -i eth1 -j DROP

これらはFORWARDチェーンにあり、ないINPUT チェーン。FORWARD チェーンにこれらのルールを設定すると、Linux ルーターは、許可されたマシン以外の Mac がルーター経由でトラフィックを送受信することを許可しません。ただし、同じサブネット上のマシンとは通信できます (ルーターを通過する必要がないため)。

入力チェーンに対して上記のルールを複製することで、ルーターに接続できるユーザーを制御することもできます。

#Rules for allowing your mac addresses
/sbin/iptables -A INPUT -i eth1 -m mac --mac-source XX:XX:XX:XX:XX:11 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -m mac --mac-source XX:XX:XX:XX:XX:22 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -m mac --mac-source XX:XX:XX:XX:XX:33 -j ACCEPT
#One final rule to drop all packets which do not match one of the rules above (are not from one of your allowed macs)
/sbin/iptables -A INPUT -i eth1 -j DROP

FORWARD と INPUT がどのケースで機能するかについての他の短い回答の 1 つに対するコメントを読んで、ここで簡単に説明します。

フォワード送信されるパケットにのみ適用されますを通してルータを他のサブネットまたは外部の世界（WAN 経由）インターフェースに接続します。入力ルータ自体で終了するように設定されたパケットに適用されます (例: ルータ/Linux ボックス自体への SSH 接続)。

Answer