Tengo una interfaz en un host remoto:
2: eth0: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:05:68:02:68:dd brd ff:ff:ff:ff:ff:ff
inet 192.168.3.1/24 brd 192.168.3.255 scope global eth0
y en mi máquina local tengo:
2: eth6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:13:3b:0f:24:fc brd ff:ff:ff:ff:ff:ff
inet 192.168.3.150/24 brd 192.168.3.255 scope global eth6
valid_lft forever preferred_lft forever
inet6 fe80::213:3bff:fe0f:24fc/64 scope link
valid_lft forever preferred_lft forever
Y hacer:
ebtables -A OUTPUT -d 00:05:68:02:68:dd -j DROP
Entonces obtengo:
Bridge chain: OUTPUT, entries: 1, policy: ACCEPT
-d 0:5:68:2:68:dd -j DROP
Hago lo anterior para bloquear todas las comunicaciones con la dirección mac (en la interfaz remota)00:05:68:02:68:dd
Sin embargo, todavía puedo hacer ping a mi interfaz remota usando 192.168.3.1. ¿Por qué? ¿Tengo que habilitar eptables de alguna manera o algo así?
Respuesta1
ebtablesactúa sólo en tramas que pasan a través de una interfaz de puente.
Si desea bloquear un sitio según su dirección MAC, cree un puente y agréguele su interfaz. Luego dirija el tráfico a través del puente y use ebtables para evitar que el tráfico salga del puente hacia esa dirección mac, como tal:
ebtables -A SALIDA -d 00:05:68:02:68:dd -j DROP
Funciona.
Respuesta2
¿Podría ser que ebtables sea solo para puentes y no para cualquier interfaz Ethernet?
ebtables - Administración de la tabla de estructura del puente Ethernet