Ich habe auf meinem DD-WRT-Heimrouter einen OpenVPN-Client eingerichtet, der ein VPN zu meinem Arbeitsplatz aufrechterhält.
Kleines Problem: Ich möchte nicht, dass zufällige Benutzer, die auf meinen Wireless AP zugreifen, Zugriff auf das VPN meiner Firma haben. (Ja, es ist einigermaßen gut gesichert, aber ich habe Grund, weitere Schritte zu unternehmen.)
Kann iptablesich davon überzeugt werden, das Routing an alle Quell-MAC-Adressen außer einigen wenigen, die ich spezifiziere, zu verweigern? Ich habe versucht, den --mac-sourceParameter wie folgt zu verwenden:
iptables -I FORWARD -i br0 -o tap0 -j REJECT
iptables -I FORWARD -i br0 -o tap0 -j ACCEPT --mac-source 00:01:02:03:04:05
Die REJECTRegel funktioniert, aber die ACCEPTRegel nicht. (Beachten Sie, dass der -IParameter verwendet wird, um sicherzustellen, dass die ACCEPTRegel vor der REJECTRegel kommt.)
Hat jemand sonst Erfahrung mit dem Einrichten einer solchen Whitelist?
Antwort1
So wie ich es verstehe, besteht Ihr Problem hier darin, dass MAC-Adressen nur eine gültige Option für die Tabellen PREROUTING und POSTROUTING sind. Ich habe dies auf folgende umständliche Weise getan ...
Wählen Sie in der Vorrouting-Tabelle der eingehenden Schnittstelle vom LAN die MAC-Adresse des Computers aus, den Sie durchlassen möchten, und ändern Sie die IP-Adresse mit DNAT in eine Adresse Ihrer Wahl, die andernfalls nicht verwendet würde.
-A PREROUTING -i eth1 -m mac --mac-source xx:xx:xx:xx:xx:xx -j DNAT -- bis 192.168.2.200 -m Kommentar --Kommentar „zuzulassende Maschine“
Legen Sie in der FORWARD-Tabelle eine Regel zum Akzeptieren dieser IP fest, mit einer Richtlinie für FORWARD, andernfalls den gesamten Datenverkehr zu löschen.
-A WEITER -s 192.168.2.200 -j AKZEPTIEREN