我在 DD-WRT 家庭路由器上設定了一個 OpenVPN 用戶端,它可以在我的工作場所維護一個 VPN。
小問題:我不希望隨機存取我的無線 AP 的使用者能夠存取我公司的 VPN。 (是的,它的安全性可以接受,但我有理由採取進一步的措施。)
是否可以iptables說服拒絕路由到除我指定的少數幾個來源 MAC 位址之外的所有來源 MAC 位址?我嘗試使用該--mac-source參數,如下所示:
iptables -I FORWARD -i br0 -o tap0 -j REJECT
iptables -I FORWARD -i br0 -o tap0 -j ACCEPT --mac-source 00:01:02:03:04:05
規則REJECT有效,但ACCEPT規則無效。 (請注意,該-I參數用於確保ACCEPT規則出現在REJECT規則之前。)
有其他人有設置這樣的白名單的經驗嗎?
答案1
據我了解,您的問題是 MAC 位址只是 PREROUTING 和 POSTROUTING 資料表的有效選項。我以以下笨拙的方式做到了這一點......
在 LAN 傳入介面上的預路由表中,選擇要允許通過的電腦的 MAC 位址,然後使用 DNAT 將 IP 位址變更為您選擇的 IP 位址之一,否則不會使用該位址。
-A PREROUTING -i eth1 -m mac --mac-source xx:xx:xx:xx:xx:xx -j DNAT -- 至 192.168.2.200 -m comment --comment “允許的機器”
在 FORWARD 表中,設定一條規則以接受該 IP,並設定 FORWARD 策略,否則將丟棄所有流量。
-A 轉發 -s 192.168.2.200 -j 接受