リモート ホストにインターフェイスがあります:
2: eth0: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:05:68:02:68:dd brd ff:ff:ff:ff:ff:ff
inet 192.168.3.1/24 brd 192.168.3.255 scope global eth0
私のローカルマシンには次のものがあります:
2: eth6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:13:3b:0f:24:fc brd ff:ff:ff:ff:ff:ff
inet 192.168.3.150/24 brd 192.168.3.255 scope global eth6
valid_lft forever preferred_lft forever
inet6 fe80::213:3bff:fe0f:24fc/64 scope link
valid_lft forever preferred_lft forever
そして、やります:
ebtables -A OUTPUT -d 00:05:68:02:68:dd -j DROP
つまり、次のようになります:
Bridge chain: OUTPUT, entries: 1, policy: ACCEPT
-d 0:5:68:2:68:dd -j DROP
上記の操作は、MACアドレス(リモートインターフェース上)へのすべての通信をブロックするために行います。00:05:68:02:68:dd
ただし、192.168.3.1 を使用してリモート インターフェイスに ping することはできます。なぜでしょうか。何らかの方法で eptables を有効にする必要がありますか。
答え1
エブテーブルズブリッジ インターフェイスを通過するフレームに対してのみ作用します。
MAC アドレスに基づいてサイトをブロックしたい場合は、ブリッジを作成し、それにインターフェースを追加します。次に、ブリッジ経由でトラフィックをルーティングし、次のように ebtables を使用してブリッジからその MAC アドレスへのトラフィックを防止します。
ebtables -A 出力 -d 00:05:68:02:68:dd -j ドロップ
それは動作します。
答え2
ebtables はブリッジ専用であり、あらゆる Ethernet インターフェイスに使用できるわけではないのでしょうか?
ebtables - イーサネット ブリッジ フレーム テーブル管理