Tenho um cliente OpenVPN configurado no meu roteador doméstico DD-WRT que mantém uma VPN no meu local de trabalho.
Pequeno problema: não quero que usuários aleatórios que acessam meu AP sem fio tenham acesso à VPN da minha empresa. (sim, está bem protegido, mas tenho motivos para tomar outras medidas.)
Pode iptablesser convencido a negar o roteamento para todos os endereços MAC de origem, exceto alguns selecionados que eu especifico? Tentei usar o --mac-sourceparâmetro da seguinte forma:
iptables -I FORWARD -i br0 -o tap0 -j REJECT
iptables -I FORWARD -i br0 -o tap0 -j ACCEPT --mac-source 00:01:02:03:04:05
A REJECTregra funciona, mas a ACCEPTregra não. (observe que o -Iparâmetro está sendo usado para garantir que a ACCEPTregra venha antes da REJECTregra.)
Alguém mais já teve experiência em configurar uma lista de permissões como esta?
Responder1
Pelo que entendi, o seu problema aqui é que os endereços MAC são apenas uma opção válida para as tabelas PREROUTING e POSTROUTING. Eu fiz isso da seguinte maneira desajeitada ...
Na tabela de pré-roteamento na interface de entrada da LAN, selecione o endereço MAC da máquina que você deseja deixar passar e use DNAT para alterar o endereço IP para um de sua escolha que de outra forma não estaria em uso.
-A PREROUTING -i eth1 -m mac --mac-source xx:xx:xx:xx:xx:xx -j DNAT -- para 192.168.2.200 -m comment --comment "máquina a ser permitida"
Na tabela FORWARD, defina uma regra para aceitar esse IP, com uma política para FORWARD, caso contrário, descartará todo o tráfego.
-A FORWARD -s 192.168.2.200 -j ACEITAR