Блокировка и разрешение трафика по MAC-адресу в iptables

iptables linuxНастраивая межсетевой экран через iptables, Вы можете захотеть заблокировать трафик с определённого узла по MAC-адресу. Это очередь удобно, если Вы знаете MAC-адрес, хотя и не является панацеей от сетевых атак из-за возможности смены MAC-адреса программным путём. Обратная ситуация — блокировка всего трафика, кроме того, что идёт с устройства с определённым MAC-адресом — тоже возможна.

Блокировка трафика по MAC-адресу

Допустим, что устройство, трафик с которого мы хотим заблокировать, имеет MAC-адрес 00:1D:60:0A:9B:DB. Для его блокировки используем команду:

iptables -A INPUT -m mac --mac-source 00:1D:60:0A:9B:DB -j DROP

Ключ -m в этом примере вызывает разрешение mac, а ключ —mac-source задает MAC-адрес узла, с которого идёт трафик.

Разрешение трафика по MAC-адресу

Обратная ситуация встречается реже, но тоже имеет место быть. Допустим, Вы хотите блокировать весь трафик, кроме трафика с узла с MAC-адресом 00:1D:60:0A:9B:DB. Сделать это можно следующей командой:

iptables -A INPUT -m mac --mac-source 00:1D:60:0A:9B:DB -j ACCEPT

Альтернативой MAC-адресу в правилах межсетевого экрана может служить IP-адрес. О блокировке или разрешении трафика по IP-адресу можно прочитать в отдельной статье.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *