Настраивая межсетевой экран через iptables, Вы можете захотеть заблокировать трафик с определённого узла по MAC-адресу. Это очередь удобно, если Вы знаете MAC-адрес, хотя и не является панацеей от сетевых атак из-за возможности смены MAC-адреса программным путём. Обратная ситуация — блокировка всего трафика, кроме того, что идёт с устройства с определённым MAC-адресом — тоже возможна.
Блокировка трафика по MAC-адресу
Допустим, что устройство, трафик с которого мы хотим заблокировать, имеет MAC-адрес 00:1D:60:0A:9B:DB. Для его блокировки используем команду:
iptables -A INPUT -m mac --mac-source 00:1D:60:0A:9B:DB -j DROP
Ключ -m в этом примере вызывает разрешение mac, а ключ —mac-source задает MAC-адрес узла, с которого идёт трафик.
Разрешение трафика по MAC-адресу
Обратная ситуация встречается реже, но тоже имеет место быть. Допустим, Вы хотите блокировать весь трафик, кроме трафика с узла с MAC-адресом 00:1D:60:0A:9B:DB. Сделать это можно следующей командой:
iptables -A INPUT -m mac --mac-source 00:1D:60:0A:9B:DB -j ACCEPT
Альтернативой MAC-адресу в правилах межсетевого экрана может служить IP-адрес. О блокировке или разрешении трафика по IP-адресу можно прочитать в отдельной статье.
Статьи по теме: