iptables實(shí)現(xiàn)對(duì)目的mac的限制

linuxlearning4R

iptables里面有一個(gè)mac模塊可以對(duì)源mac進(jìn)行限制，但是沒有對(duì)目的mac進(jìn)行限制。有其他拓展模塊可以對(duì)目的mac進(jìn)行限制嗎？


mac match options:
[!] --mac-source XX:XX:XX:XX:XX:XX
                                Match source MAC address

Godbach

回復(fù) 1# linuxlearning4R
這個(gè) mac 匹配的就是 源 IP，應(yīng)該是匹配 dst mac 沒有太大意義吧。

kernel 中的 xt_mac.c 的核心代碼如下，也說明是 source mac
28 static bool mac_mt(const struct sk_buff *skb, struct xt_action_param *par)
29 {
30     const struct xt_mac_info *info = par->matchinfo;
31     bool ret;
32
33     if (skb->dev == NULL || skb->dev->type != ARPHRD_ETHER)
34         return false;
35     if (skb_mac_header(skb) < skb->head)
36         return false;
37     if (skb_mac_header(skb) + ETH_HLEN > skb->data)
38         return false;
39     ret  = ether_addr_equal(eth_hdr(skb)->h_source, info->srcaddr);
40     ret ^= info->invert;
41     return ret;
42 }

Godbach

回復(fù) 1# linuxlearning4R

LZ 對(duì)匹配 dest mac 的需求是什么。

linuxlearning4R

Godbach 發(fā)表于 2016-09-02 21:54
回復(fù) 1# linuxlearning4R

LZ 對(duì)匹配 dest mac 的需求是什么。

我也大概看了一下netfilter里面的xt_mac.c文件，按理來說說，nf是在三層的，mac地址是在二層的。
但是包由二層進(jìn)入三層的時(shí)候，skb里面帶有源mac信息，所以nf就實(shí)現(xiàn)了基于源mac的匹配。
到包要往外發(fā)的時(shí)候，目的mac是在二層填上，讓后由網(wǎng)口發(fā)走的。所以nf完全時(shí)候是不知道目的mac是什么的。
所以，按理來說，nf（iptables）是沒辦法做基于目的mac的匹配的，這樣理解對(duì)嗎？

我后來查了一下，有一個(gè)ebtables是可以實(shí)現(xiàn)對(duì)源/目的mac進(jìn)行匹配限制，但是ebtables只能是用在網(wǎng)橋模式上，對(duì)路由模式是不生效的。

Godbach

回復(fù) 4# linuxlearning4R

是的，ebtables 應(yīng)該是支持的。
只是要搞清楚你什么場(chǎng)景，需要過濾目的 mac

linuxlearning4R

回復(fù) 5# Godbach

應(yīng)用場(chǎng)景，就是常見的防火墻部署�？蛻粽f為什么會(huì)有源mac限制，但是沒有目的mac限制。
所以非得要弄一個(gè)目的mac限制出來。并且只要路由模式的。


那么ebtables只是用在以太二層，走的是橋模式，不是路由模式，有不滿足客戶需求，無語了

Godbach

回復(fù) 6# linuxlearning4R

哈哈，果然是客戶的不假思索需求啊。