Можно ли создать правило iptables, которое разрешает доступ из внешней сети (за wan eth0) с определенного MAC-адреса только на определенный IP-адрес за внутренним адаптером (безопасный lan eth1)?
Модель:
10.0.1.2 <- 10.0.1.1 <- FW <- 192.168.1.15 <- 08: 00: 00: 00: 01: 00
БЕЗОПАСНЫЙ IP-адрес ЛВС <- ЛВС МАРШРУТИЗАТОРА <- ПРАВИЛО ПЕРЕДАЧИ <- МАРШРУТИЗАТОР WAN <- РАЗРЕШЕНИЕ MAC
Маршрутизатор должен делать только фильтрацию. Безопасные IP-адреса LAN должны быть доступны только из рук, закодированных за пределами MAC. Возможно на конкретный порт. Нет необходимости общаться из безопасной сети на улицу.
Цель этого - сделать безопасную Extra-LAN только с устройствами NAS и защитить их от автоматического доступа из обычной LAN с помощью фильтра MAC-адресов.
Похоже, что единственно возможный вариант - использовать эти два правила в ВПЕРЕД цепь в ФИЛЬТР стол:
ipconfig -A FORWARD -m mac --mac-source 08: 00: 00: 00: 01: 00 -j ПРИНЯТЬ
ipconfig -A FORWARD -m state --state УСТАНОВЛЕН, СВЯЗАН -j ПРИНЯТЬ
Конфигурация IPTABLES - это строгое DROP для отключения любого другого трафика:
iptables -P ПАДЕНИЕ ВВОДА
iptables -P ВЫХОДНОЕ УДАЛЕНИЕ
iptables -P FORWARD DROP
Первое попадание при поиске в Google "iptables allow MAC" - https://www.cyberciti.biz/tips/iptables-mac-address-filtering.html
Оттуда:
iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT
это то, что вы ищете? Вы также можете расширить это IP-адресом назначения, например:
iptables -A INPUT -p tcp -d 10.0.1.2 --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT