Назад | Перейти на главную страницу

Как заблокировать MAC-адрес в брандмауэре pf

Я хочу заблокировать определенный MAC-адрес на брандмауэре PF. Я знаю, что брандмауэр PF работает на уровне 3, то есть он работает с IP-адресами, а не с MAC-адресами, но есть ли способ заблокировать MAC-адрес на брандмауэре pf

Нет, нет.

Вы знаете, что людям легко изменить свои MAC-адреса, верно? Кроме того, в тот момент, когда пакет проходит через 3 последующих устройства маршрутизации, информация об адресе Mac исходной машины теряется. Таким образом, даже если вы действительно захотите сделать что-то подобное, это будет работать только для клиентов, находящихся в той же локальной сети L2, что и ваш сервер.

Чего вы на самом деле пытаетесь здесь достичь?

Для этого вам нужно пометить Ethernet-фрейм. (http://www.openbsd.org/faq/pf/tagging.html)

Тегирование может выполняться на уровне Ethernet, если машина, выполняющая тегирование / фильтрацию, также действует как мост (4). Создавая правила фильтрации bridge (4), которые используют ключевое слово tag, PF можно настроить на фильтрацию на основе MAC-адреса источника или назначения. Правила моста (4) создаются с помощью команды ifconfig (8).

Пример:

# ifconfig bridge0 rule pass in on fxp0 src 0:de:ad:be:ef:0 tag USER1

А затем в pf.conf:

pass in on fxp0 tagged USER1

и EEAA права, здесь нет никакой реальной безопасности.

измени свой MAC-адрес вот так

ifconfig eth0 hw ether 02:01:02:03:04:08