iptables 的MAC匹配

本大王

各位 , 请教个IPTABLES的问题,我的防火墙规则如下

# Generated by iptables-save v1.3.5 on Mon Sep  2 12:00:28 2013
*filter
:INPUT DROP [350:27592]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [367:38808]

-A INPUT -p tcp  --dport 22 -m mac --mac-source 00-27-10-98-C3-FC
-A INPUT -p tcp  --dport 22 -m mac --mac-source 90-E6-BA-0E-D0-AF
-A INPUT -s 10.1.8.0/255.255.255.0 -p tcp -m tcp --dport 22 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

我本机的MAC地址是 90-E6-BA-0E-D0-AF 是这个   可是 我登陆的时候   这条规则本没被匹配   请问这是什么原因

[root@admin net]# iptables -nvL
Chain INPUT (policy DROP 816 packets, 63871 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 MAC 00:27:10:98:C3:FC
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 MAC 90:E6:BA:0E0:AF
  718 53768 ACCEPT     tcp  --  *      *       10.1.8.0/24          0.0.0.0/0           tcp dpt:22 state NEW,RELATED,ESTABLISHED
  443 23880 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 80,20,21,199,111
    0     0 ACCEPT     tcp  --  *      *       10.1.0.0/24          0.0.0.0/0           

zongg

1. -m mac --mac-source 90-E6-BA-0E-D0-AF -j DROP

复制代码

试试这样行吗？

本大王

回复 2# zongg

不行   还是不匹配~
   

zongg

回复 3# 本大王


    你的这个iptables 是做NAT ？ 还是本机的没用nat 功能？

zongg

回复 3# 本大王


这样试试：

1. iptables -A INPUT -p tcp --dport 22 -m mac --mac-source xx:xx:xx:xx -j ACCEPT
   
2. iptables -A INPUT -p tcp --dport 22 -J DROP

复制代码

chenyx

你的机器和linux确定是在同一个网段吗?

本大王

回复 6# chenyx


不在同一个网段  是不是过了路由  MAC地址就变了?

   

chenyx

对,mac地址只能在同一个lan内有效,经过路由就不是了.

本大王

回复 8# chenyx
哦  原来是这样   多谢哥们

   

chenyx

你可以看看路由实现部分的文章,路由器通信的时候有个mac伪装的过程