В настоящее время у меня есть компьютер Debian с двумя сетевыми интерфейсами, выступающими в качестве маршрутизатора / шлюза.
У меня есть несколько дешевых IP-камер, которые пытаются получить доступ к внешним службам, предположительно для какой-то «облачной» функции. Эту функцию нельзя отключить.
Я хотел бы добавить в Shorewall правила для отбрасывания исходящих пакетов с этих камер, чтобы предотвратить их доступ в Интернет. Я использовал аналогичный метод для предотвращения загрузки ненужных файлов конфигурации подержанными устройствами VOIP потребительского уровня в прошлом.
Для этого я мог добавить фильтры по MAC-адресу или IP для каждой камеры. Это немного утомительно. например
DROP local:~AA:BB:CC:11:22:33
DROP local:~AA:BB:CC:11:22:44
DROP local:~AA:BB:CC:11:22:55
etc..
Могу я использовать какой-нибудь подстановочный знак? например
DROP local:~AA:BB:CC:*
Камеры разделяют подсеть с несколькими другими устройствами, и перемещение их в новую подсеть только для применения к ним правил брандмауэра нежелательно.
Версия Shorewall - 5.0.15.6 на ядре 3.16.0-4-amd64.
Короткий ответ будет: нет, нельзя.
Shorewall имеет ограниченную поддержку подстановочных знаков для имен интерфейсов (т. Е. Используйте 'ppp +'; это соответствует ppp0, ppp1, ppp2 ... и т. Д.) И именам портов (http://shorewall.net/manpages/shorewall-interfaces.html), но не для MAC-адреса или IP-адреса.
Я также сделал быстрый тест, чтобы получить только «ОШИБКА: недопустимый MAC-адрес…».