내 직장에 VPN을 유지하는 DD-WRT 홈 라우터에 OpenVPN 클라이언트가 설정되어 있습니다.
약간의 문제: 내 무선 AP에 액세스하는 임의의 사용자가 내 회사의 VPN에 액세스하는 것을 원하지 않습니다. (예, 보안이 잘 되어 있지만 추가 조치를 취해야 할 이유가 있습니다.)
iptables내가 지정한 몇 가지 선택된 주소를 제외한 모든 소스 MAC 주소에 대한 라우팅을 거부 할 수 있습니까 ? --mac-source다음과 같이 매개변수를 사용해 보았습니다 .
iptables -I FORWARD -i br0 -o tap0 -j REJECT
iptables -I FORWARD -i br0 -o tap0 -j ACCEPT --mac-source 00:01:02:03:04:05
규칙 REJECT은 작동하지만 ACCEPT규칙은 작동하지 않습니다. ( 매개변수는 규칙이 규칙보다 앞에 오는지 -I확인하는 데 사용됩니다 .)ACCEPTREJECT
이와 같은 화이트리스트를 설정한 경험이 있는 사람이 있습니까?
답변1
제가 이해한 바로는 여기서 귀하의 문제는 MAC 주소가 PREROUTING 및 POSTROUTING 테이블에 대해서만 유효한 옵션이라는 것입니다. 나는 다음과 같은 투박한 방식으로 이 작업을 수행했습니다.
LAN에서 들어오는 인터페이스의 사전 라우팅 테이블에서 통과시키려는 시스템의 MAC 주소를 선택하고 DNAT를 사용하여 IP 주소를 다른 경우에는 사용되지 않는 IP 주소로 변경합니다.
-A 사전 설정 -i eth1 -m mac --mac-source xx:xx:xx:xx:xx:xx -j DNAT -- 192.168.2.200 -m comment --comment "허용되는 시스템"
FORWARD 테이블에서 해당 IP를 허용하는 규칙을 설정하고, 그렇지 않으면 모든 트래픽을 삭제하는 FORWARD 정책을 설정합니다.
-A 앞으로 -s 192.168.2.200 -j 수락