私は、職場への VPN を維持する DD-WRT ホーム ルーターに OpenVPN クライアントを設定しています。
ちょっとした問題: 無線 AP にアクセスするランダムなユーザーが会社の VPN にアクセスできないようにしたいのです。(確かに、セキュリティは十分に確保されていますが、さらに対策を講じる理由があります。)
iptables指定した少数のアドレスを除くすべての送信元 MAC アドレスへのルーティングを拒否するように説得できますか?--mac-source次のようにパラメータを使用してみました:
iptables -I FORWARD -i br0 -o tap0 -j REJECT
iptables -I FORWARD -i br0 -o tap0 -j ACCEPT --mac-source 00:01:02:03:04:05
ルールREJECTは機能しますが、ACCEPTルールは機能しません。(ルールがルールの前に来る-Iようにするためにパラメーターが使用されていることに注意してください。)ACCEPTREJECT
他にもこのようなホワイトリストを設定した経験のある方はいらっしゃいますか?
答え1
私の理解では、ここでの問題は、MAC アドレスが PREROUTING テーブルと POSTROUTING テーブルにのみ有効なオプションであるということです。私はこれを次のような不格好な方法で実行しました...
LAN からの着信インターフェイスの事前ルーティング テーブルで、通過させるマシンの MAC アドレスを選択し、DNAT を使用して、使用されていない任意の IP アドレスに変更します。
-A PREROUTING -i eth1 -m mac --mac-source xx:xx:xx:xx:xx:xx -j DNAT -- to 192.168.2.200 -m comment --comment "許可するマシン"
FORWARD テーブルで、その IP を受け入れるためのルールを設定し、それ以外の場合はすべてのトラフィックをドロップする FORWARD のポリシーを設定します。
-A 転送 -s 192.168.2.200 -j 受け入れ