通过iptables进行MAC过滤

2015-6-27 笑看风云 linux知识

我的openwrt没有MAC过滤功能，要是找了半天发现可以通过iptables来解决。

白名单策略：

首先允许白名单用户连接路由器:

iptables -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx  -j ACCEPT

然后禁止非白名单用户连接路由器：

iptables -I INPUT 2 -m mac --mac-source ! xx:xx:xx:xx:xx:xx  -j DROP

上面的MAC地址可以随便填，起含义为除了非MAC地址位xx:xx:xx;xx:xx:xx的流量一律丢弃，这样除了之前的白名单其他用户一律连接不了路由器.

然后非白名单用户禁止上网：

还是先允许白名单用户：

iptables -I FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx  -j ACCEPT

然后依旧是非白名单用户禁止联网:

iptables -I FORWARD 2 -m mac --mac-source ! xx:xx:xx:xx:xx:xx  -j DROP

好了现在非白名单用户就上不了网了，如果要添加白名单就这样:

iptables -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx  -j ACCEPT
iptables -I FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx  -j ACCEPT

把上面的MAC地址改成要添加的用户的MAC地址。

使用黑名单：

黑名单的使用就方便了很多直接添加以下规则:

iptables -I INPUT  -m mac --mac-source  xx:xx:xx:xx:xx:xx  -j DROP
iptables -I FORWARD  -m mac --mac-source  xx:xx:xx:xx:xx:xx  -j DROP

把上面的MAC地址改一下就可以了。

不过使用黑名单的话安全性不如白名单，还是推荐大家使用白名单。

ps：如果不保存规则的话添加的MAC过滤会在重启后失效，推荐大家把规则写入到/etc/firewall.user中

如果MAC过多可以使用脚本解决：

for mac in $(cat mac); do
        iptables -I FORWARD -m mac --mac-source ! xx:xx:xx:xx:xx:xx  -j DROP
        iptables -I INPUT  -m mac --mac-source ! xx:xx:xx:xx:xx:xx  -j DROP
        iptables -I FORWARD -m mac --mac-source $mac -j ACCEPT
        iptables -I INPUT -m mac --mac-source $mac  -j ACCEPT
done

这个脚本开机的时候执行一次就可以了，如果要临时添加的话最后手动添加，不然会导致iptables中规则重复。

ps:删除iptables规则，首先我们执行

 iptables -L  --line-number

这是会在规则前面显示序号，然后执行

iptables -D INPUT 1

就可以删除规则了，上面命令中的1就是规则的序号，替换成你要删除的规则的序号就行了。

标签: 网络 Linux iptables

« 使用haproxy进行代理中转 | 搬瓦工vps加速»

发表评论：

宣赠超的博客

美好的生活需要用心记录

通过iptables进行MAC过滤

搜索

blogger

日历

热门日志

最新日志

随机日志

最新评论

最新碎语

标签

分类

存档

链接

访问人数

权利声明